OWASP Top 10 网络安全10大漏洞——A01:2021-访问控制中断

已于 2024-03-06 15:52:19 修改
阅读量746 收藏 7
点赞数 13
分类专栏: 运维相关 文章标签: web安全 安全
于 2024-03-05 21:18:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37888039/article/details/136487740
版权

10大Web应用程序安全风险

2021年top10中有三个新类别、四个类别的命名和范围变化,以及一些合并。
在这里插入图片描述

A01:2021-访问控制中断

从第五位上升到top1,94%的应用程序都经过了某种形式的访问控制破坏测试,平均发生率为 3.81%且在贡献的数据集中出现次数最多,超过 318k。映射到“破坏访问控制”的 34 个常见弱点枚举 (CWE) 在应用程序中的出现次数比任何其他类别都多。

已映射的CWE最大发生率平均发生率平均加权漏洞利用平均加权影响最大覆盖范围平均覆盖率总发生次数CVE 总数
3455.97%3.81%6.925.9394.55%47.72%318,48719,013

值得注意的是常见弱点枚举 (CWE) 包括 CWE-200:将敏感信息暴露给未经授权的参与者,CWE-201: 将敏感信息插入到发送的数据中,以及 CWE-352: 跨站点请求伪造。

什么是访问控制中断?

访问控制是指控制对信息或功能的访问权限的系统。损坏的访问控制使攻击者可以绕过授权并执行任务,就像他们是管理员等特权用户一样。例如,Web 应用程序可能允许用户仅通过更改 url 的一部分即可更改他们登录的帐户,而无需任何其他验证。

预防

许多服务在用户登录时都会发布授权令牌。用户发出每个特权请求都需要出示授权令牌。这是确保用户身份与声称相符的安全方法,而无需他们不断输入登录凭据。通过确保 Web 应用程序使用授权令牌并对其设置严格的控制,可以确保访问控制的安全。

在客户端部分实施或弱实施的访问权限控制。缓解这些控制措施通常需要在应用端进行重写,以便正确强制执行只能由已获授权的用户访问的资源。

  • 强制执行访问权限控制
  • 限制数据操纵
  • 集中控制访问权限
  • 可配合云应用和本地应用使用
  • 保护 HTTP 和 TCP 连接
  • 情境感知访问权限
  • 过滤跨域请求
  • 过滤本地或远程文件包含攻击
  • 过滤 HTTP 参数污染攻击

A01:2021-访问控制中断

A02:A02:2021-加密机制失效
A03:2021-injection
A04:2021-不安全设计
A05:2021-安全配置错误

Aggy阿吉
关注
  • 13
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OWASP Top 10 网络安全10漏洞——A02:A02 2024-加密机制失效
2401_83947398的博客
04-12 380
由于传输过程中缺少加密或弱加密,或者意外暴露敏感数据,可能会发生加密失败情况。首先确定传输中数据的保护需求和休息。例如,密码、信用卡号、健康 记录、个人信息和商业机密需要额外的保护,主要是如果该数据属于隐私法,例如欧盟的通用数据保护条例(GDPR)或法规,例如金融数据保护,例如 PCI 数据安全标准(PCI DSS。属于隐私法的数据,是否存在以明文传输的问题。数据是否适用旧的较弱的加密算法和协议来加密。收到的服务器证书和信任链是否经过验证。设计加密机制是是否考虑随机性。
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
本资源为 OWASP-TOP10-2021 中文版V1.0.pdf,是一个关于 Web 应用程序安全的指南,旨在帮助开发者和安全专家识别和避免常见的安全风险。该资源涵盖了 OWASP-TOP10-2021 的项目介绍、使用方法、风险因素、预防措施、...
Laykefu客服系统 任意文件上传漏洞,2024年最新34岁程序员年薪50w
2401_83739632的博客
04-15 311
Laykefu客服系统/admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求头中Cookie中的”user_name“不为空时即可绕过登录系统后台,恶意攻击者可利用此问题,上传后门文件,获取服务器权限。Laykefu 是一款基于workerman+gatawayworker+thinkphp5搭建的全功能webim客服系统,旨在帮助企业有效管理和提供优质的客户服务。
OWASP Top 10 网络安全10漏洞——A02,2024年最新不可思议
afagagagaa的博客
04-10 1131
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
2024年最全k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等),网络安全面试2024
最新发布
2401_84545884的博客
05-05 947
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
OWASP-TOP10-2021中文版V1.0
01-28
OWASP TOP 10 2021 中文版 V1.0 是一个社区驱动的项目,由 OWASP(开放式网络应用程序安全项目)发起,旨在提高 Web 应用程序的安全性。该项目提供了一个详细的清单,涵盖了当前最常见的十大安全风险,旨在帮助...
OWASP-TOP10-2021中文版V1.0发布
01-22
OWASP-TOP10-2021中文版V1.0发布 OWASP Top 10是开源网络应用安全项目,旨在帮助开发者和安全专业人士了解和防止常见的网络应用安全风险。2021年版OWASP Top 10发布,带来了许多变化和改进。本文将对OWASP Top 10的...
DVWA靶场,集成了owasp top 10漏洞
03-28
DVWA靶场,集成了owasp top 10漏洞,可以在这里面进行学习漏洞原理、利用和危害
owasp top10漏洞讲解
07-22
web渗透之逻辑漏洞,1. 注入 2. 失效的身份认证和会话管理 3. 跨站攻击 4. 不安全的对象直接引用 5. 伪造跨站请求 6. 安全配置错误 7. 限制URL访问失败 8. 未验证的重定向和转发 9. 应用已知脆弱性的组件 10. 敏感数据暴露
2024年网络安全最全OWASP-TOP-10漏洞之XSS_渗透漏洞wotp10
2401_84297455的博客
05-03 1159
1.URL进入服务器时自动进行一次默认解码2.进入deny方法之前进行参数处理时,会通过mergeParams方法中的urldecode函数进行第二次解码3.在创建连接操作helper::createLink()中,通过parse_str()函数进行第三次编码环境:windows11+phpstudyV8+php5.4.45+apache程序框架:骑士cms V3.4.0特点:存储型xss,过滤绕过。
OWASP Top 10 网络安全10漏洞——A02:A02:2021-加密机制失效
Aggy阿吉的博客
03-05 780
首先确定传输中数据的保护需求和休息。例如,密码、信用卡号、健康 记录、个人信息和商业机密需要额外的保护,主要是如果该数据属于隐私法,例如欧盟的通用数据保护条例(GDPR)或法规,例如金融数据保护,例如 PCI 数据安全标准(PCI DSS。属于隐私法的数据,是否存在以明文传输的问题。数据是否适用旧的较弱的加密算法和协议来加密。收到的服务器证书和信任链是否经过验证。设计加密机制是是否考虑随机性。
OWASP TOP 10漏洞原理和应对策略
wholeliubei的博客
03-15 765
如果你也想学习:黑客&网络安全的零基础攻防教程。
【渗透测试】OWASP TOP10
热门推荐
qq_48201589的博客
05-24 1万+
OWASP Web App TOP10是由开放式Web应用程序安全项目组织(OWASP)提出的“十大安全风险列表”,总结了Web应用程序最通用的十大安全风险,旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程,从而提高Web产品的安全性。
OWASP Top 10 详细解读
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
02-24 1380
A01:2021-访问控制破坏从第五位上升。94%的应用程序进行了某种形式的访问控制中断测试。映射到Broken Access Control的34个通用缺陷枚举(CWE)在应用程序中的出现次数比任何其他类别都多。A02:2021-加密机制失效上升一位至第2位。以前称为敏感数据暴露,这是普遍的现象,而不是根本原因。这里重新关注的是与加密相关的故障,这些故障通常会导致敏感数据暴露或系统受损。A03:2021-注入下滑至第3位。
OWASP TOP 10漏洞分析
weixin_54535828的博客
05-07 2396
1.注入 - Injection 2.跨站脚本 - (XSS) 3.失效的验证和和会话管理 4.不安全的直接对象访问 5.跨站请求伪造 - (CSRF) 6.不正确的安全设置 7.不安全的加密存储 8.URL访问限制缺失 9.没有足够的传输层防护 10.未验证的重定向和跳转 注入-Injection 1、虽然还有其他类型的注入攻击,但绝大多数情况下,问题设计的都是SQL注入 2、攻击者通过发送SQL操作语句,达到获取信息、篡改数据库、控制服务器等目的。是目前费长流行的WEB攻击手段 3、流行性:常见;危
OWASP_TOP10_2010_WEB安全(中文版).docx
06-25
除此之外,新版本的OWASP TOP 10还引入了一些新的安全风险和漏洞类型,以适应不断变化的网络安全威胁。这些新的关键风险包括但不限于安全配置错误、不安全的加密算法、未经身份验证的访问控制、未经授权的访问和恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aggy阿吉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值