OWASP TOP10 2021总结

最新推荐文章于 2024-07-24 14:41:23 发布
最新推荐文章于 2024-07-24 14:41:23 发布
阅读量9.1k 收藏 8
点赞数 3
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52663093/article/details/123485608
版权
本文总结了OWASP 2021十大安全风险,包括访问控制失效、加密失败、注入、不安全设计、安全配置错误等问题,详细阐述了风险描述和加固建议,旨在提高Web应用的安全性。
摘要由CSDN通过智能技术生成

OWASP(Open Web Application Security Project)是一个开源的、非盈利的全球性安全组织。是指web应用程序安全风险。2021年web漏洞较以往有一些变化。

2021top 10总结如下:

A01:2021-Broken Access Control 访问控制失效

A01:访问控制失效(Broken Access Control)从第五位上升到了第一位。94%的应用程序都经过了某种形式的访问控制失效测试。提供的数据表明,超过94%的app都经历过某种形式的越权访问控制测试。对应到失效的访问控制有34个CWE,比任何其它类型在应用中出现的次数都多。

基本描述

失效访问控制就是执行策略,使用户不能超出其预期权限行事。如果策略失败就会导致未经授权的信息被暴露、修改或者销毁相关数据,更有甚者在用户限制之外执行业务功能。另外,通俗点讲失效的访问控制其实就是一种越权操作行为,这种越权主要表现为水平越权和垂直越权行为。

加固建议

除了公共资源外,默认禁止访问;
确保以尽可能少的方式提供给用户、程序或进程访问权限,分清权限问题。
禁止列出WEB服务器目录,确保元数据和备份文件不在根目录;
限制访问API的频率,使自动化扫描攻击工具的损害最小化;
token应该在登出后立刻失效;
加强引用

最低0.47元/天 解锁文章
一身公主病
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OWASPTop102021知识总结
IerkeU的博客
03-23 4万+
OWASP top10 2021年版TOP 10产生三个新类别,且进行了一些整合 考虑到应关注根本原因而不是症状。 A01:失效的访问控制 ​ 从第五位上升称为Web应用程序安全风险最严重的类别,常见的CWE包括:将敏感信息泄露给经授权的参与者、通过发送的数据泄露敏感信息、跨站请求伪造(csrf) 风险说明: ​ 访问强制实施策略,使用户无法在其预期权限之外操作。失败的访问控制通常导致经授权的信息泄露,修改或者销毁所有数据,或在用户权限之外执行业务功能。 常见的访问控制脆弱点: 违法最小权限原则
OWASP TOP 10(2021)
m0_51553670的博客
06-03 925
OWASP:全称Open Web Application Security Project(开放式Web应用程序安全项目):OWASP公司公布的10种最严重、最常见的web应用漏洞官网链接。
OWASP2021 Top10
山己见的博客
09-24 1027
2021 年前 10 名发生了什么变化 有三个新类别,四个类别的命名和范围发生了变化,并且 2021 年的前 10 名中进行了一些合并。 A01:2021-Broken Access Control 失效的访问控制 从第五位上升;94% 的应用程序都经过了某种形式的破坏访问控制的测试。映射到 Broken Access Control 的 34 个 CWE 在应用程序中出现的次数比任何其他类别都多。 A02:2021-Cryptographic Failures 加密失败 上移一位至 #2,以前称为敏感数
OWASP top10 详解
热门推荐
whoim_i的博客
11-24 3万+
目录什么是owasp top10?排行榜(1)SQL 注入(2)失效的身份认证和会话管理(3)跨站脚本攻击 XSS(4)直接引用不安全的对象(5)安全配置错误(6)敏感信息泄露(7)缺少功能级的访问控制(8)跨站请求伪造 CSRF(9)使用含有已知漏洞的组件(10)验证的重定向和转发 什么是owasp top10OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开...
OWASP TOP10总结
weixin_42775865的博客
10-06 1736
1.注入漏洞高 注入漏洞是指发生在应用程序将不可信的数据发送到解释器。攻击者发送简单的基于文本的攻击,利用目标处理程序语法。扫描器和模糊测试工具可以帮助攻击者找到这些漏洞。注入能导致数据丢失或数据破坏,甚至能导致完全主机接管。注入漏洞严重的话,所有的数据都有可能被偷窃,篡改和删除。 2.失效的身份认证高 大多数身份和访问管理系统的设计和实现,普遍存在身份认证失效问题。会话管理是身份验证和访问控制的基础,并且存在于所有状态应用程序中。攻击者可以使用指南手册来检测失效的身份验证,但通常会...
【渗透测试】OWASP TOP10
网络安全从业者的学习笔记
05-24 1万+
OWASP Web App TOP10是由开放式Web应用程序安全项目组织(OWASP)提出的“十大安全风险列表”,总结了Web应用程序最通用的十大安全风险,旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程,从而提高Web产品的安全性。
OWASP TOP10 2020总结
weixin_48664996的博客
08-05 610
OWASP TOP10 2020 注入 失效身份验证和会话管理 敏感信息泄露 XML外部实体注入攻击(XXE) 存取控制中断 安全性错误配置 跨站脚本攻击(XSS) 不安全的反序列化 使用具有已知漏洞的组件 日志记录和监控不足 注入 当攻击者将过滤或过滤不充分的恶意代码发送到Web应用程序以使其执行该应用程序设计的操作时,就会发生代码注入。此安全漏洞的最常见示例可能是使用不受信任数据的SQL查询。 代码注入漏洞的核心是缺乏对Web应用程序使用...
OWASP TOP10(2017)总结学习
weixin_45525324的博客
04-18 548
OWASP TOP10(2017)总结学习 一、背景 OWASP(Open Web Application Security Project)开源Web应用程序安全项目。 OWASP Top 10是OWASP组织基于超过 40家专门从事应用程序安全业务的公司提交的数据,以及500位以上个人完成的行业调查(这些数据包含了从数以百计的组织和超过10万个实际应用程序和API中收集的漏洞),根据这些流行数...
OWASP TOP 10-2021详解
m0_70483044的博客
12-02 2120
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应该会的应用知识。2003年该组织首次出版了“Top 10”,也就是10项最严重的Web应用程序安全风险列表。
owasp top10
jiaohuadehuli的博客
10-04 1845
owasp top 10 owasp top 10 官网地址 文章目录owasp top 10前言一,漏洞简介A01:2021-Broken Access Control描述如何预防攻击场景示例A02:2021-Cryptographic Failures描述如何预防攻击场景示例A03:2021-Injection描述如何预防攻击场景示例A04:2021-不安全设计描述如何预防攻击场景示例A05:2021-安全配置错误描述如何预防攻击场景示例A06:2021-Vulnerable and Outdated
OWASP TOP10移动安全漏洞(安卓).pdf
02-22
总结而言,OWASP TOP10移动安全漏洞涵盖了移动应用安全领域的各个方面,从数据存储到网络通信,再到应用程序本身的保护措施。对于开发者来说,了解这些常见漏洞并采取相应措施来预防是非常重要的。通过遵循最佳实践...
OWASP Top10 2017 中文版 v1.3.pdf
05-13
五、总结 OWASP Top 10 2017为Web应用程序安全防护提供了明确的方向,无论是在开发、测试还是运营阶段,都应该将其作为重要参考,以降低安全风险,保护用户数据和企业资产。随着技术的发展,安全威胁也在不断演变...
OWASP_TOP10_2010_WEB安全(中文版).docx
12-22
OWASP TOP 10 2010 WEB 安全知识点总结 OWASP TOP 10 2010 是 OWASP(Open Web Application Security Project)发布的最新 WEB 应用脆弱性的 TOP 10,旨在协助个人、企业和机构发现和使用可信赖软件。该版本主要有...
OWASP十大安全漏洞
01-12
总结和学习了2017年新发布的owasp top 10 十大漏洞,每个漏洞从原理、案列、解决方法上进行阐述,详见ppt
如何安全的申请SSL证书
2401_86337938的博客
07-22 1566
DV级别的证书只验证域名所有权,OV级别证书除了验证域名所有权外还会验证单位组织信息,EV级别的证书除了验证域名所有权、单位组织信息外还会验证详细组织业务信息。一旦你的证书被批准,你会收到一个包含证书文件的邮件。最后,在选择SSL证书时,也要注意选择受信任的可信根CA颁布的SSL证书,可以先向JoySSL官网工作人员发送自己需要保护的域名,提交自己所需要的证书类型,注册时填写。首先选择在授权的JoySSL提供商或者是受信任的证书颁发机构选择适合的证书类型。详细的公司信息验证,用于银行、电商等敏感行业。
数据库安全:MySQL安全配置,MySQL安全基线检查加固
wangyuxiang946的博客
07-23 2622
MySQL基线检查,基线配置,安全加固
深入探讨:如何在Shopee平台上安全运营多个店铺?
最新发布
Ssm2022的博客
07-24 709
因为每个IP相关信息会被收录形成独特的浏览器指纹,浏览器指纹是一种通过收集和识别用户浏览器特征来跟踪和识别用户的技术。在跨境电商中,特别是运营多个店铺的商家,浏览器指纹可能被电商平台用于判断账号之间的关联。所以,当Shopee检测到一IP多店铺时,会认为商家存在恶意倾销等行为,从而封禁你的账号。这是一个关乎账号安全和业务持续性的重要问题。浏览器保存的账号、密码、支付信息等数据,以及注册资料、法人信息的重复使用,也可能导致账号被关联。通过这些措施,卖家可以有效降低店铺被关联的风险,保障业务的持续和稳定发展。
owasp top10 2021
04-04
OWASP Top 10 2021年是一份由Open Web Application Security Project(OWASP)发布的报告,旨在列出当前最常见的Web应用程序安全风险。以下是OWASP Top 10 2021年的概述: 1. 失效的身份验证和会话管理 攻击者可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值