owasp十大安全漏洞_OWASP十大漏洞

最新推荐文章于 2024-05-11 15:20:32 发布
最新推荐文章于 2024-05-11 15:20:32 发布
阅读量8.2k 收藏 10
点赞数 2
文章标签: java 安全 python 编程语言 人工智能
原文链接:https://www.ibm.com/developerworks/security/library/se-owasptop10/index.html
版权

owasp十大安全漏洞

OWASP

免费试用AppScan Standard

IBM Security AppScan Standard可帮助您检测和纠正OWASP前10名列表中发现的许多类型的安全问题。 您可以下载AppScan Standard试用版并自己进行测试。

开放式Web应用程序安全项目(OWASP)是一个致力于增强Web应用程序安全性的国际组织。 作为其使命的一部分,OWASP赞助了众多与安全相关的项目,其中最受欢迎的十大项目之一。 该项目发布了一份清单,列出了它认为当前全球十大Web应用程序安全风险的清单。 该列表描述了每个漏洞,提供了示例,并提供了有关如何避免此漏洞的建议。 2013年6月正式发布的前10名名单的最新版本更新了2010年名单。 2013年排名前10位的列表基于七家应用程序安全公司的数据,涵盖了数百个组织中的500,000多个漏洞。 OWASP根据其流行程度及其相对可利用性,可检测性和影响力对前十名进行了优先排序。

为了进一步理解其中的某些漏洞,IBM Security Systems Ethical Hacking团队准备了以下视频。

#1注射

Warren Moynihan定义了注入,并列举了许多示例。 然后,他提供了一个详细的示例,说明黑客可能如何使用注入技术来获取对受其他保护的数据的访问权限。 最后,他说明了如何使用IBM Security AppScan查找和消除此漏洞。

#2身份验证和会话管理中断

身份验证和会话管理中断是最常利用的Web漏洞之一。 Brennan Brazeau解释了非安全凭据实践和不适当的会话管理技术如何使攻击者能够访问Web应用程序。 他还说明了如何使用AppScan识别这些潜在问题。

#3跨站点脚本

在此视频中,安全系统的Moynihan描述了黑客如何使用跨站点爬网(XSS)将恶意代码发送到网站。 他演示了用于利用此常见漏洞的技术,并展示了IBM Security AppScan如何在示例网站上搜索和识别XSS漏洞。

#4不安全的直接对象引用

网站通常要求用户提供其应用程序参数的值。 如果未正确审查这些值,则黑客可以使用它们将恶意命令传递给站点。 在这里,乔纳森·菲茨·杰拉德(Jonathan Fitz-Gerald)演示了一种可能的攻击,以及如何使用AppScan识别这种类型的漏洞。

#5安全配置错误

错误配置的Web服务器为黑客提供了滥用网站的机会。 在此视频中,Paul Ionesco展示了攻击者如何不加小心地启用测试或调试功能。 建议将“最低特权”原则作为减轻风险的一种方法,并且显示AppScan在查找示例中是有效的。

#6敏感数据公开

John Zuccato审查了敏感数据泄露漏洞。 传输中未加密的数据可能容易受到攻击者侦听连接的攻击。 例如,存储在服务器上的未加密数据可能会受到SQL注入攻击的威胁。 与其他漏洞一样,AppScan可以帮助发现潜在问题。

#7缺少功能级别的访问控制

在这里,Zuccato检查缺少的功能级别访问控制,这种情况发生在无意中允许较低级别访问的用户访问受限于较高级别访问的网站部分时。 选择“隐藏”功能而不是在功能级别上保护其应用程序的管理员可以创建这些漏洞。 您可以使用AppScan的“特权升级”测试来找到它们。

#8跨站点伪造

跨站点请求伪造(CSRF)当前在OWASP的前10名中排名第8,是一个经常利用的漏洞。 跨站点请求伪造是一个Web应用程序漏洞,攻击者可能会在用户登录应用程序时强迫他们在不知不觉中执行操作。 由于这些类型的应用程序中可用的用户信息和操作,攻击者通常使用CSRF攻击来针对云存储,社交媒体,银行和在线购物站点。 在此视频中,IBM Security Systems Ethical Hacking团队的成员介绍了该漏洞,探讨了风险,告诉您如何保护Web应用程序免受攻击,并演示了AppScan Standard如何发现该漏洞。

#9使用已知漏洞的组件:运行中的Heartbleed和Shellshock

当前,使用已知漏洞的组件在OWASP的前10名中排名第9。 Heartbleed和Shellshock是这种威胁的最新例子。 应用程序开发人员可以使用大量可重复使用的软件组件。 其中许多组件都是开源的,由自愿捐款开发,并且可以免费获得。 开发人员可以使用这些第三方组件快速构建功能丰富的应用程序。 尽管采用这种方法的好处显而易见,但如果公司使用第三方组件,则需要考虑安全漏洞的成本。

#10未经验证的重定向和转发

当前,未经验证的重定向和转发在OWASP十大图表中排名第10,是一种经常利用的漏洞类型。 Web应用程序经常将用户重定向并转发到其他页面和网站。 没有适当的验证,攻击者就可以将受害者重定向到恶意站点或使用转发来访问未经授权的页面。

结论

这些只是现代Web应用程序所遭受的一些安全漏洞。 但是,通过遵循这些视频中提供的提示和IBM Security Systems的其他帮助,以及使用高级安全软件(例如IBM AppScan),网站管理员可以查找,纠正和避免这些和其他Web安全威胁。

翻译自: https://www.ibm.com/developerworks/security/library/se-owasptop10/index.html

owasp十大安全漏洞

cuyi7076
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
owasp十大漏洞_OWASP十大网络应用安全漏洞
weixin_39530557的博客
12-06 2108
OWASP(The Open Web Application Security Project)是一个提供关于网络应用安全的无偏见、实用信息的非盈利组织。OWASP十大网络应用程序安全风险在2017年进行了更新,并向开发人员和安全专业人员提供有关网络应用程序常见的最关键漏洞的指导。列出的这10类应用风险是危害最大的,可能允许攻击者植入恶意软件、窃取数据或完全接管您的计算机或网络服务器。应用程序安...
OWASP top10 漏洞
热门推荐
qq_52469895的博客
04-20 1万+
1.sql注入 原理: SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。分类: 1、报错注入 2、bool 型注入 3、延时注入 4、宽字节注入防御: 1.使用预编译语句,绑定变量 2.使用存储过程 3.使用安全函数 4.检查数据类型 ​1.获取数据库名 select SCHEMA_NAME from information_schema.SCHEMA.
网络安全入门必知的OWASP top 10漏洞详解_top10漏洞
最新发布
2401_84204207的博客
05-11 1057
近年来,敏感数据泄露已经成为了一最常见、最具影响力的攻击,一般我们的敏感信息包括密码、财务数据、医疗数据等,由于web应用或者API未加密或不正确的保护敏感数据,这些数据极易遭到攻击者利用,攻击者可能使用这些数据来进行一些犯罪行为,因此,未加密的信息极易遭到破坏和利用,不久前就爆出过Facebook泄露了用户的大量信息,以及12306也多次泄露用户的信息。现在信息泄露已经成为了owasp top 10排名前三的漏洞之一,可想而知敏感信息泄露现在已经成为十分严重的问题。
Web安全OWASP TOP10漏洞
m0_64481831的博客
03-09 1247
简单点说,OWASP概括了“10项最严重的Web应用程序安全风险列表”,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。OWASP每四年发布一次,现在最新的OWASP是由2021年公布的。
OWASP TOP 10 漏洞指南(2021)
一期一会的博客
02-11 8650
什么是OWASP TOP 10? OWASP,全称“开放式Web应用程序安全项目”是一个非营利性的组织,2003年该组织首次出版了“Top 10”,也就是10项最严重的Web应用程序安全风险列表。 Top 10 总结了Web应用程序最可能、最常见、最危险的十大安全漏洞。 近几年OWASP TOP的变化 A1 失效的访问控制 概述 失效的访问控制,也叫越权,攻击者通过各种手段提升自己的权限,越过访问控制,使访问控制失效,这样攻击者就可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。
OWASP top10 的介绍
城下深蓝的博客
11-30 1232
OWASP top10 的介绍
OWASP十大安全漏洞
01-12
总结和学习了2017年新发布的owasp top 10 十大漏洞,每个漏洞从原理、案列、解决方法上进行阐述,详见ppt
OWASP十大安全漏洞.pptx
11-07
OWASP发布的新版十大安全漏洞和防御方法 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织。它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助...
OWASP十大安全漏洞解析
11-08
结和学习了2017年新发布的owasp top 10 十大漏洞,每个漏洞从原理、案列、解决方法上进行阐述
DVWA靶场,集成了owasp top 10漏洞
03-28
DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,专为网络安全专业人士设计,用于学习和测试各种Web安全漏洞。这个靶场集成了OWASP(Open Web Application Security Project)的Top 10漏洞,这些...
移动安全 OWASP_Top_10__Effectiveness_of_Web_Application_Firewalls
11-08
8. 不安全的第三方代码:依赖未经充分审查的第三方库可能引入安全漏洞。 9. 用户接口安全设计不足:用户界面设计不当可能使攻击者利用用户行为发起攻击。 10. 不足的日志和监控:缺乏有效的日志记录和监控可能使攻击...
OWASP TOP 10-2021详解
m0_70483044的博客
12-02 2111
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应该会的应用知识。2003年该组织首次出版了“Top 10”,也就是10项最严重的Web应用程序安全风险列表。
OWASP TOP 10解析
CH3UHX9
03-26 347
简介 OWASP Top 10是排名前十的漏洞,需要在日常开发和管理时注意防范。 目前最新的是2017年版的,随着时代的更新,漏洞也会不断变化。 这里只介绍OWASP Top 10不代表其他漏洞不重要,本文是对其的一个理解和记录。 A1:注入 介绍 将不受信任的数据作为命令或查询的一部分发送到解析器,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。 攻击者的恶意数据可以诱使解析器在没有授权的情况下执行非预期命令或访问数据。 攻击点 用户提供的数据没有经过应用程序的验证、
OWASP TOP 10漏洞及防范
阳光灿烂的日子的博客
06-19 2712
A1 注入 Injection Web安全头号大敌。注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入漏洞通常能SQL查询、LDAP查询、OS命令、程序参数等出现。 SQL注入实例 防范: 1.使用安全的API,避免使用解释器或提供参数化的接口(...
失效的身份认证和会话管理(二)
努力让自己更优秀的博客
09-17 3136
缺陷: 1,允许凭证填充,这使得攻击者获得有效用户名和密码的列表; 2,允许暴力破解或其他自动攻击; 3,允许默认的、弱的或众所周知的密码,例如“admin/admin“; 4,使用弱地或失效的验证凭证,忘记密码程序,例如“基于知识的答案“,这是不安全的; 5,使用明文、加密或弱散列密码,允许使用GPU破解或暴力破解工具开素恢复密码; 6,缺少或失效的多因素身份验证。 如何防止...
owasp top10之失效的身份认证和会话管理 笔记
xingxingdoukeyi的博客
10-21 681
身份认证 最常用的地方就是各种登录,现在很多应用使用了手机验证码认证的方式,以及联动QQ,微信,邮箱等登录方式,个人感觉比输入账号密码时SQL注入变少了很多,不过花里胡哨的逻辑漏洞变多了 会话管理 因为http本身是无状态协议,所以需要一些验证机制,会话管理一般为登录状态成功后,由服务器为客户端分配的令牌,要求是唯一并且不可预测,通常为客户端cookie,服务器端session,token两边都有 ...
OWASP TOP10】2021全球十大常见安全漏洞
weixin_53472121的博客
03-17 9503
十大安全漏洞 简单概括 文章目录十大安全漏洞前言一、 失效的访问控制1.概述2.攻击情景范例二、加密失败1.概述2.攻击情景范例三、 注入1.概述2.攻击情景范例四、不安全的设计1.概述2.攻击情景范例五、安全配置错误1.概述2.攻击情景范例六、易受攻击和过时的组件1.描述2.攻击情景范例七、认证和授权失败1.描述2.攻击情景范例八、软件和数据完整性故障1.描述2.攻击情景范例九、 安全日志记录和监控失败1.描述2.攻击情景范例十、:服务器请求伪造1.描述2.攻击情景范例总结 前言 现在勉强算入门了ct
OWASP十大热门威胁
yazhouren的专栏
02-04 1039
原文地址:http://netsecurity.51cto.com/art/201103/252558.htm OWASP十大热门威胁 顾名思义,OWASP(开放式web应用程序安全项目)关注web应用程序的安全OWASP这个项目最有名的,也许就是它的"十大安全隐患列表"。这个列表不但总结了web应用程序最可能、最常见、最危险的十大安全隐患,还包括了如何消除这些隐患的
靶机渗透测试实战(十)——SickOs1.2渗透实战
橘子女侠
05-11 4283
目录 一. 实验环境 二. 实验流程 三. 实验步骤 (一)信息收集——主机发现 1. 查看Kali的IP信息;(IP:192.168.37.131) 2. 查看靶机页面 3. 扫描主机(netdiscover) (二)信息收集——端口扫描 1. 扫描端口(masscan) 2. 详细扫描端口信息(nmap) (三)渗透测试 80端口(http服务) 1. 访...
owasp十大漏洞2022
06-07
很抱歉,我无法回答您提出的问题,因为OWASP(Open Web Application Security Project)尚未发布2022年的十大漏洞清单。目前最新的版本是2021年的Top 10漏洞包括注入、无效身份验证和访问控制、安全配置错误、跨站脚本攻击(XSS)、不安全的反序列化、使用已知的漏洞组件、跨站请求伪造(CSRF)、不安全的重定向和转发、缺少功能级别访问控制和不安全的文件上传。我们需要等待OWASP发布2022年的十大漏洞清单后,才能知道最新的漏洞情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值