owasp-top10(2024)

于 2024-07-26 18:00:04 发布
阅读量172 收藏 3
点赞数 3
文章标签: 网络安全 安全 owasp 2024
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74402888/article/details/140721876
版权

一、注入(sql注入)

2024-7-14-sql注入总结大全

复习

二、敏感数据泄露

概念:

很多 Web 应用程序和 API 都无法正确保护敏感数据,例如:财务数据、医疗数据和 PII 数据(个人身份信息)。攻击者可以很容易的获取到,并造成破坏,因此,我们需要对敏感数据加密,这些数据包括传输过程中的数据、存储的数据。通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。

存在的原因

①、数字系统越来越多,用户个人信息收集后存储分散,业务使用中管理不规范

②、随着企事业单位规模的扩大,员工数量逐步增加,信息安全意识参差不齐,可能存在违规使用、随意下载用户个人信息的行为

防范

①、加强员工意识,禁止上传代码到 github 等网站。

②、谨慎使用第三方云服务,不要把工作相关的存放到云端。

③、禁止使用工作邮箱注册非工作相关网站

2024-7-16-web信息收集复习

2024-7-17-ssrf

2024-7-18-xxe

、访问控制崩溃

概念

        未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的账户、查看敏感文件、修改其他用户的数据、更改访问权限等。

从表现形式来看,访问控制崩溃也就是我们常说的越权漏洞

越权分为两种

        ①、水平越权:A,B 两个用户权限是相同的,但是 A 可以访问 B 的信息。

        ②、垂直越权(向上垂直):A 是普通用户,B 管理员用户,A 可以执行 B 的权限。

简单的方法描述

通过修改 URL、内部应用程序状态或 HTML 页面绕过访问控制检查,或简单地使用自定义的 API 攻击工具。

允许将主键更改为其他用户的记录,例如查看或编辑他人的账户。

特权提升。在不登录的情况下假扮用户,或以用户身份登录时充当管理员。

以未通过身份验证的用户身份强制浏览的通过身份验证时才能看到得页面、或作为标准用户访问具有相关权限的页面、或 API 没有对 POST、PUT 和 DELETE 强制执行访问控制。

【注: POST、PUT、DELETE 等操作是相当危险的,用户在使用的时候一定要进行身份验证】

防范

        访问控制只有在受信服务器端代码或没有服务器的 API 中有效,这样攻击者才无法修改访问控制检查或元数据。

①、除公有资源外、默认情况下拒绝访问(最小权限原则)。

②、严格判断权限,用户只能操作属于自己的内容。

③、记录失败的访问控制,并在适当时向管理员告警(如:重复故障)。

④、对 API 和控制器的访问进行速率限制,以最大限度地降低自动化攻击工具的危害。

⑤、当用户注销后,服务器上的 JWT ( JSON Web Token)令牌应该失效。

2024-7-15-xss复习总结

2024-7-16-jwt总结

Sql二次注入

、安全配置不当

        安全配置错误是最常见的安全问题,这通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的 HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。因此,我们不仅需要对所有的操作系统、框架、库和应用程序进行安全配置,而且必须及时修补和升级它们。

可能出现的风险点

应用程序启用或者安装了不必要的安全功能

默认账户名和密码没有修改

应用软件已过期或出了新版本未更新

应用程序服务器,应用程序框架等未进行安全配置

错误处理机制被披露大量敏感信息

对于更新的系统,禁用或不安全地配置安全功能

、使用含有已知漏洞组件

概念

        组件(例如:库、框架和其他软件模式)拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用,可能会造成严重的数据丢失或服务器接管。同时,使用含有已知漏洞的组件的应用程序和 API 可能会破坏应用程序防御、造成各种攻击并产生严重影响。

常见的cve,cvnd漏洞

、服务器请求伪造

        SSRF(服务器端请求伪造)是指攻击者能够从易受攻击的 Web 应用程序发送精心设计的请求对其他网站进行攻击。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统

SSRF 的成因

        SSRF 形成的原因大都是由于服务器端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。SSRF 是利用存在缺陷的 web 应用作为代理去攻击远程和本地的服务器。

        也就是说,对于为服务器提供服务的其他应用没有对访问进行限制,如果我构造好我的访问包,那我就有可能利用目标服务对他的其他服务器应用进行调用。

SSRF 常见危害

        1、可以对服务器所在内网、本地进行端口扫描,获取一些服务的信息等

        2、目标网站本地敏感数据的读取

        3、内外网主机应用程序漏洞的利用

        4、内外网 web 站点漏洞的利用

防范

过滤返回信息,验证远程服务器对请求的响应,是比较容易的方法。比如 web 应用获取某种类型的文件,那么可以在把返回结果展示给用户之前先验证返回信息是否符合标准。

统一错误信息,避免用户根据错误信息来判断远程服务器端口状态。

限制请求的端口为 HTTP 常用端口,比如 80、443、8080、8090

黑名单内网 IP ,避免应用被用来获取内网数据,攻击内网。

禁用不需要的协议。仅仅允许 HTTP 和 HTTPS 请求。可以防止类似于 file://  、ftp:// 等引起的问题

Ssrf复习

、不安全的设计

漏洞产生原因

        在开发软件时,在关键身份验证、访问控制、业务逻辑和关键流部位没有进行安全的设计。

八、软件和数据完整性失效

九、不足的日志记录和监控

十、未验证的重定向和转发

小春学渗透
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OWASP-TOP10漏洞-注入漏洞
weixin_44770698的博客
09-14 1310
注入漏洞学习-墨者学院
OWASP-TOP10解读之概述
hobby云说
04-28 1282
OWASP全称是:Open Web Application Security Project,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。 圈内有这么一句话,“互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了”。还有这么一句话,“这世界上只分两种公司,一种是被黑过,另一种是被黑了还不知道的”,那么你公司是哪种呢?随着互联网的爆发,安全漏洞也连年增长,2020年NVD漏...
2021年OWASP-TOP10
qq_45751902的博客
06-23 996
2021年OWASP-TOP10
OWASP-TOP10 之 注入
hobby云说
05-05 637
注入,汉语解释为泵入、灌入或流入。站在应用程序的角度来说就是输入,如果这个输入是恶意的,并且应用程序并未判断为无效输入或者说并未进行拦截和过滤,这时候注入漏洞就出现了,OWASP的官方解释可以见这里,http://www.owasp.org/index.php/Injection_Flaws。 注入漏洞的攻击向量 在概述中我就有描述过攻击向量,用来描述攻击者的攻击路径(方法),那么注入的攻击向量是什么呢?一般指的是恶意攻击者可以进行控制或者进行输入的每一个地方。注入漏洞一...
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
OWASP-TOP10-2021 中文版V1.0.pdf 本资源为 OWASP-TOP10-2021 中文版V1.0.pdf,是一个关于 Web 应用程序安全的指南,旨在帮助开发者和安全专家识别和避免常见的安全风险。该资源涵盖了 OWASP-TOP10-2021 的项目介绍...
OWASP-TOP10-2021中文版V1.0
01-28
OWASP TOP 10 2021 中文版 V1.0 OWASP TOP 10 2021 中文版 V1.0 是一个全新的、使用新图形设计的项目,旨在提高 Web 应用程序的安全性。该项目提供了一个详细的清单,涵盖了当前最常见的十大安全风险,旨在帮助...
OWASP-TOP10-2021中文版V1.0发布
01-22
OWASP-TOP10-2021中文版V1.0发布 OWASP Top 10是开源网络应用安全项目,旨在帮助开发者和安全专业人士了解和防止常见的网络应用安全风险。2021年版OWASP Top 10发布,带来了许多变化和改进。本文将对OWASP Top 10的...
移动应用OWASP-Top-10
12-01
移动应用OWASP-Top-10是一份针对移动应用安全性的关键问题的指南,主要针对中文读者,旨在帮助开发者和安全专家理解并防止常见的安全威胁。以下是对OWASP Mobile Top 10各风险点的详细解释: 1. **平台使用不当**:...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8348
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 784
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
防火墙--内容安全
banliyaoguai的博客
07-20 1238
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
气膜建筑的逃生通道设计与安全保障—轻空间
Skansi的博客
07-25 295
确保这类建筑的安全性,尤其是逃生通道的设计,是保障人员生命安全的关键。通过合理设计逃生通道、加强日常维护和应急演练,可以有效提升气膜建筑的安全性,保障人员的生命安全。定期组织应急疏散演练,提高人员逃生意识和技能,确保紧急情况下有序撤离。根据建筑面积和使用人数设计足够的逃生通道,确保人员能够迅速疏散。逃生通道应有清晰的标识和足够的照明,确保在紧急情况下易于找到。材料和结构应具备良好的防火性能,确保通道畅通无阻。逃生通道的宽度和高度应满足疏散需求,避免拥堵。安装应急照明设备和紧急广播系统,引导人员撤离。
探究大语言模型(LLM)漏洞和安全优秀实践
java_cjkl的博客
07-21 1137
你可能已听说过LLM强势亮相,至少ChatGPT就是代表。大语言模型(LLM)指语言处理模型。这类模型经过训练,可以执行各种各样的语言任务:翻译、文本生成和问题回答等。有几个LLM家族和架构,最著名的是GPT(生成式预训练Transformer)。每种 LLM都有各自的特定功能,但本文侧重介绍LLM普遍固有的安全问题。随着越来越多的公司集成LLM以增强用户体验或简化和加速内部流程,这种类型的集成特有的新漏洞随之出现。
Docker 安全及日志管理(包含SSL证书)
最新发布
weixin_62922268的博客
07-25 1093
目前常用的 Docker 版本都支持 Docker Daemon 管理宿主机 iptables 的,而且一旦启动进程加上 -p host_port:guest_port 的端口映射,Docker Daemon 会直接增加对应的 FORWARD Chain 并且 -j ACCEPT,而默认的 DROP 规则是在 INPUT 链做的,对 docker 没法限制,这就留下了很严重的安全隐患。3)客户端收到服务端证书后,会先用本地的CA证书校验证书的有效性,如果证书有效,则继续下一步操作,证书无效则显示告警信息。
网站被浏览器提示“不安全”的解决办法
ABCDEFK1234的博客
07-23 334
免费申请HTTPS证书
构建稳固与安全的网络环境:从微软蓝屏事件中的教训学习
xingyu_qie的专栏
07-22 545
微软蓝屏”事件为我们提供了宝贵的教训和警示,即使是最大的科技公司也难以完全避免软件缺陷带来的灾难性后果。建设一个稳固和安全的网络环境需要多方面的努力:从有效的软件更新管理到强化的紧急响应能力,再到全员安全意识的培养和文化建设。只有综合运用技术、流程和人员培训,我们才能更好地应对未来可能出现的类似挑战,保护我们的数字基础设施和社会运行的稳定性与安全性。
如何避免蓝屏?轻量部署,安全和业务连续性才能两不误
亚信安全官方账号的博客
07-23 573
轻量部署,安全和业务连续性才能两不误
owasp-top10-2021 最新中文版v1.0.pdf下载
06-24
### 回答1: OWASP Top 10是一个网络应用程序安全风险的指南,旨在为企业和开发人员提供有关应用程序安全风险的信息和解决方案。2021年版的OWASP Top 10依然是众所瞩目的,各个安全顾问、企业都在紧密关注。 OWASP Top 10建立在全球数据和研究的基础上,是一个广泛接受的安全风险指南。它覆盖了Web应用程序最常见的安全风险,并提供了一些解决方案和建议,帮助企业和开发人员更好地保护其Web应用程序。 2021年版的OWASP Top 10重点关注了API安全和云安全,并将这些风险列为主要问题。API是Web应用程序中最流行的集成方式之一,因此攻击者经常利用它们来入侵和偷取数据。这使得API的安全成为防御攻击的重点。 至于云安全,它是一个与日俱增的问题,因为越来越多的企业和组织正在选择将其应用程序部署在云上。这意味着攻击者可以轻松地在云中找到目标,并进行各种攻击。 总的来说,下载OWASP Top 10最新中文版v1.0.pdf可以让企业和开发人员更好地了解现今最常见的Web应用程序安全风险,并了解防御这些风险的方法。这个指南将是值得细心研究的资源,以确保应用程序的安全。 ### 回答2: OWASP是全球最知名的网络安全组织之一,旨在提高软件安全性并推进网络安全教育和培训。OWASP Top 10是OWASP的核心项目之一,着重于列举当前网络应用程序中最常见的十种安全风险,以提高开发人员、安全测试人员和安全专家的安全意识。最新的OWASP Top 10列表是2021年版,这个版本于2021年6月发布。相比于之前的版本,这一版本增加了新风险,并对已有的风险进行了修改和调整。 在OWASP Top 10 2021中文版v1.0中,含有整个OWASP Top 10列表的中文翻译和详细解释,同时还有相关的漏洞描述、常见漏洞案例分析、攻击和防御建议等详细内容。这使得中文读者能够更好地理解此清单并快速找到有用的信息,进一步加强对网络安全的保护和预防工作。 总的来说,OWASP Top 10 2021中文版v1.0是网络安全领域必不可少的重要资料之一,对于开发人员、应用程序测试人员、网络安全专家来说都十分有用。此版本的推出充分展示了OWASP网络安全的不断关注和持续改进的精神,同时也提醒我们在应用程序开发中更加重视安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值