OWASP 2025 年 10 大漏洞 – 被利用/发现的最关键弱点,从零基础到精通,收藏这篇就够了!

最新推荐文章于 2025-04-30 13:54:36 发布
最新推荐文章于 2025-04-30 13:54:36 发布
阅读量945 收藏 9
点赞数 22
分类专栏: 网络安全 程序员 计算机工具 文章标签: 安全 web安全 网络 linux 服务器 python java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/logic1001/article/details/146376465
版权

更多全球网络安全资讯尽在邑安全

开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约 Top 10,这是一份全面的意识文件,旨在为 Web3 开发人员和安全团队提供应对智能合约中最关键漏洞的知识。

随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安全性的重要性从未如此明显。最新列表反映了不断发展的攻击媒介,并突出了近年来被利用或发现最多的漏洞。

OWASP 智能合约 Top 10 是开发人员、审计员和安全专业人员的重要资源,提供了对常见弱点和缓解策略的见解。

它补充了其他 OWASP 项目,例如智能合约安全验证标准 (SCSVS) 和智能合约安全测试指南 (SCSTG),为保护区块链生态系统提供了一种整体方法。

2023 年至 2025 年的主要变化

2025 年版引入了基于真实事件和新兴趋势的最新排名和新见解。值得注意的变化包括将价格预言机操纵和闪电贷攻击作为不同的类别添加,这反映了它们在 DeFi 漏洞利用中的日益普遍。

同时,早期版本中突出的 Timestamp Dependence 和 Gas Limit Issues 等漏洞已被替换或集成到更广泛的类别中,例如 Logic Errors。

OWASP 2023 – 2025 年

OWASP 2025 年 10 大漏洞:

  1. 访问控制漏洞

  2. 价格预言机操纵

  3. 逻辑错误

  4. 缺少输入验证

  5. 重入攻击

  6. 未经检查的外部呼叫

  7. 闪电贷攻击

  8. 整数溢出和下溢

  9. 不安全的随机性

  10. 拒绝服务 (DoS) 攻击

主要漏洞的详细概述

SC01:访问控制漏洞

访问控制漏洞仍然是智能合约财务损失的主要原因,仅在 2024 年就造成了 9.532 亿美元的损失。这些漏洞发生在权限检查实施不当时,允许未经授权的用户访问或修改关键功能或数据。一个值得注意的示例是 88mph 函数初始化错误,它允许攻击者重新初始化合约并获得管理权限。

SC02:价格预言机操纵

操纵价格预言机(智能合约使用的外部数据源)可能会破坏协议的稳定性,从而导致财务损失或系统故障。攻击者经常利用设计不佳的预言机机制来暂时抬高或压低资产价格。

SC03:逻辑错误

当合约未能正确执行其预期功能时,就会出现业务逻辑漏洞。这些错误可能导致代币铸造不当、借贷协议有缺陷或奖励分配不正确。

SC04:缺少输入验证

未能验证用户输入可能允许攻击者将恶意数据注入智能合约,从而导致意外行为或破坏合约逻辑。

SC05:重入攻击

重入攻击利用合约在完成自己的状态更新之前调用外部函数的能力。这个经典漏洞在 2016 年的 DAO 黑客攻击中臭名昭著,该黑客攻击耗尽了价值 7000 万美元的以太币。

SC06:未经检查的外部呼叫

当智能合约无法验证外部调用是否成功时,它们可能会对交易结果做出错误的假设。这可能会导致不一致或被恶意行为者利用。

SC07:闪电贷攻击

闪电贷允许用户在单笔交易中在没有抵押品的情况下借入资金,但可以被用来操纵市场或耗尽流动性池。

SC08:整数溢出和下溢

当计算超出数据类型限制时,会发生算术错误,可能允许攻击者操纵余额或绕过限制。

SC09:不安全的随机性

区块链的确定性特性使得生成安全的随机性具有挑战性。可预测的随机性可能会损害彩票、代币分配或其他依赖于随机结果的功能。

SC10:拒绝服务 (DoS) 攻击

DoS 攻击以智能合约中的资源密集型函数为目标,通过耗尽 gas 限制或计算资源使其无响应。

实际影响

OWASP 智能合约前 10 名由 SolidityScan 的 Web3HackHub 和 Immunefi 的加密损失报告等资源中记录的事件提供信息。

仅在 2024 年,由于访问控制缺陷 ($953M)、逻辑错误 ($63M) 和重入攻击 ($35M) 等漏洞,在 149 起记录在案的事件中损失了超过 $14.2 亿。这些数字凸显了区块链开发中对强大安全实践的迫切需求。

随着区块链技术的成熟,攻击者寻求利用其漏洞所采用的方法也在不断成熟。OWASP 智能合约 2025 年 10 大榜单为开发人员和安全团队提供了关键路线图,旨在保护去中心化生态系统免受不断演变的威胁。

通过遵守这些准则并将最佳实践整合到从设计到部署的每个开发阶段,Web3 项目可以增强其抵御潜在漏洞的弹性,同时培养用户和投资者之间的信任。

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。

内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,200多G的资源,不用担心学不全。
在这里插入图片描述
因篇幅有限,仅展示部分资料,需要见下图即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
侵权,请联系删除。

白帽子Android渗透测试指南
AI天才研究院
08-06 1249
随着智能手机的普及和移动互联网的快速发展,Android系统作为全球市场占有率高的移动操作系统,其安全性越来越受到人们的重视。与此同时,针对Android系统的恶意软件和攻击手段也层出不穷,给用户的信息安全和隐私保护带来了极的威胁。为了帮助广开发者和安全爱好者更好地了解Android系统的安全机制,掌握Android渗透测试的基本方法和技巧,本文将从白帽子的角度出发,详细介绍Android渗透测试的流程、技术和工具,并结合实际案例进行分析和讲解。
[车联网安全自学] Android安全之移动安全测试指南「移动安全测试基本原理」
橙留香Park的博客
02-02 567
[车联网安全自学] Android安全之移动安全测试指南「移动安全测试基本原理」;在接下来的部分中,我们将简要介绍常规安全测试原则和关键术语。所介绍的概念与其他类型的渗透测试中的概念基本相同,所以如果你是经验丰富的渗透测试人员,你可能会熟悉其中的一些内容移动APP安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁在整个指南中,我们将 “移动应用安全测试” 作为一个综合名词,指的是通过静态分析和动态分析对移动应用安全进行评估。例如:“移动应用渗透测试” 和 “移动应用安全分析
OWASP 2025 10 漏洞利用发现关键弱点,从零基础精通收藏了!
韩束一叶子
02-17 1278
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
2025网络安全趋势与十威胁预测,从零基础精通收藏了!
2401_84618514的博客
03-08 822
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
小白入门网络攻防?从零基础精通收藏了!
HUANGXIN9898的博客
03-17 1082
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
模型学习路径全解析:零基础入门到精通模型学习路线非常详细,收藏这一
m0_65555479的博客
03-29 1182
在掌握机器学习之前,理解支撑这些算法的基本数学概念非常重要。:这是理解许多算法(特别是深度学习算法)的关键。主要概念包括向量、矩阵、行列式、特征值和特征向量、向量空间以及线性变换。:许多机器学习算法涉及到连续函数的优化,这需要理解导数、积分、极限和级数。多变量微积分以及梯度的概念也很重要。:这些知识对于理解模型如何从数据中学习并进行预测至关重要。主要概念包括概率理论、随机变量、概率分布、期望、方差、协方差、相关性、假设检验、置信区间、似然估计和贝叶斯推断。
2025 渗透测试路线图:从初学者到受聘的 8 个步骤。零基础入门到精通,看这了!赶紧收藏
2401_84215240的博客
02-11 871
进入渗透测试领域似乎是一件令人难以承受的事情——尤其是如果你之前没有任何经验的话。对我来说,渗透测试曾经看起来像是一个不可能实现的职业。但如果可以使用捷径来加速你的旅程呢?通过利用现有渗透测试人员的方法和个性中的弱点,你可以从一个完全的初学者变成在 2025 获得第一份渗透测试员的工作。无论您是学生、转行者,还是对进攻性安全感兴趣的人,此路线图都旨在加快您的旅程。
SRC漏洞挖掘经验+技巧零基础入门到精通收藏
Python_paipai的博客
09-06 2543
在HP Data protecetor Media Operations 的客户端连接服务端时,通过私访有的通信协议,客户端会首先检查[系统分区]:\Documents and Settings\[用户名]\Application Data 下面是否有相应的资源(如插件等),如果没有,则会向服务器请求需要的文件,服务器没有验证请求的文件名的合法性,而且这个过程不需要任何验证,攻击者精心构造文件名,可以读取服务端安装目录所在分区的任意文件。古老的内存破坏类型。漏洞造成的敏感信息泄露导致机密性的破坏;
漏洞要学多久?挖漏洞零基础入门到精通收藏
chengxuyuanyy的博客
12-23 950
以上就是我对刚入行网络安全的朋友的一些个人的建议,后有一点需要说明一下:上面列举到的不同方向的技术不是严格意义独立的,相反,很多时候是相辅相成,需要结合起来,融会贯通。每个人的认知是有限的,我也不例外。本回答只是我的一家之言,建议家多看一些人的总结和经验,横向对比,兼听则明,偏听则暗。网络安全产业就像一个江湖,各色人等聚集。
漏洞挖掘典型场景和思路(非常详细)零基础入门到精通收藏这一
A1_3_9_7的博客
02-05 1345
我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、用户,对漏洞的认识也是非常不一致的。从业多,我至今都找不到一个满意的定义,于是我自己定义一个:安全漏洞是信息系统在生命周期的各个阶段(设计、实现、运维等过程)中产生的某类问题,这些问题会对系统的安全(机密性、完整性、可用性)产生影响。
2025版】新黑客渗透安全及渗透测试流程,零基础入门到精通收藏
A1_3_9_7的博客
02-04 1384
1、国际化标准组织(ISO)引用ISO-74982文献中对安全的定义:安全就是程度地减少数据和资源被攻击的可能性。2、《计算机信息安全系统保护条例》中的第三条规范了包括计算机网络系统在内的计算机信息系统安全的概述:“计算机信息系统的安全保护,应当保障计算机及其相关的配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
【SpringSecurity零基础入门到精通】:掌握企业级安全解决方案的10个秘诀
[【SpringSecurity零基础入门到精通】:掌握企业级安全解决方案的10个秘诀](https://cyberhoot.com/wp-content/uploads/2021/02/5c195c704e91290a125e8c82_5b172236e17ccd3862bcf6b1_IAM20_RBAC-1024x568.jpeg) ...
精通Web渗透:Kali Linux实战指南
在渗透测试过程中,测试者尝试以攻击者的方式识别、利用利用应用程序中的安全漏洞。Kali Linux是一款专为安全专业人员设计的操作系统,包含了一系列用于渗透测试、数字取证和其他安全领域任务的工具。Web环境下...
微服务架构下的‘黑带’安全师:Spring Cloud Security全攻略!
Geek_H
05-28 2736
在数字化浪潮中,微服务架构如同一场盛的国际美食节,而Spring Cloud Security则是这场盛宴的安全守护神。本文将带你深入后厨,揭秘如何使用Spring Cloud Security在微服务间搭建坚不可摧的安全防线。从环境搭建到服务间通信,从安全策略设计到经典问题的巧妙应对,每一环节都充满了智慧和趣味。准备好了吗?让我们一起探索微服务美食广场的秘密,打造一个五星级的安全防护!
芯片软错误概率探究:基于汽车芯片安全设计视角
最新发布
ANSILIC的博客
04-30 1122
本文深入剖析了芯片软错误概率问题,结合 AEC-Q100 与 IEC61508 标准,以 130 纳米工艺 1Mbit RAM 芯片为例阐述其软错误概率,探讨汽车芯片安全等级划分及软错误对汽车关键系统的影响,分析先进工艺下软错误变化趋势,并提出相应的应对策略,旨在为芯片在汽车等安全关键领域的应用提供理论参考与实践指导,保障电子系统可靠性。
基于STM32、HAL库的ATECC608B安全验证及加密芯片驱动程序设计
corlin6688的博客
04-29 203
注意:ATECC608B的I2C地址通常是0x60(7位地址)基于硬件的高安全性加密算法。ECC P-256加密引擎。真随机数生成器(TRNG)I²C接口(高1MHz)低功耗设计,适合物联网应用。SHA-256哈希算法。16KB安全存储空间。
基于STM32、HAL库的DS2401P安全验证及加密芯片驱动程序设计
corlin6688的博客
04-28 292
1 |--DATA---------->| GPIO (配置为开漏输出)// 检测存在脉冲(设备应在60-240us内拉低总线)// 初始化DS2401P,使用GPIOB, PIN5。// 发送读取ROM命令 (0x33)// 微秒级延迟函数(需要根据系统时钟配置)// 释放总线(上拉电阻将拉高)工作温度范围:-40°C至+85°C。// 配置为开漏输出,无上拉。// 拉低总线至少480us。// 打印ROM信息。// 发送复位脉冲并检测存在脉冲。// 读取DS2401P的ROM。
企业 AD 域安全10风险场景解析
运维有小邓
04-28 568
Active Directory(AD)作为多数组织的信息管理中枢,在身份验证与访问控制中发挥着至关重要的作用。这也使其成为网络犯罪分子觊觎的目标,他们不断寻找漏洞以窃取关键数据。为了有效防御AD环境遭受攻击,了解常见的攻击手段以及制定全面的防护策略至关重要。本文将带你了解十常见AD攻击类型,并介绍如何快速检测和防护。
掌握OWASP TOP 10漏洞,DVWA靶场实战学习指南
DVWA集成了OWASP Top 10漏洞,这是由开放网络应用安全项目(OWASP)公布的十常见、严重的Web应用安全风险。通过在DVWA靶场环境中模拟这些漏洞,用户可以进行实际操作来学习漏洞的原理、利用方法以及它们的危害...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值