![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
OWASP
qq_39682037
这个作者很懒,什么都没留下…
展开
-
OWASP top10(OWASP十大应用安全风险)之A10 日志和监控不足(Insufficient Logging and Monitoring)
日志和监控不足(Insufficient Logging and Monitoring)保护网站的重要性不可低估。虽然100%的安全性不是一个现实的目标,但是有一些方法可以使您的网站受到定期监控,以便您在发生问题时立即采取行动。如果没有有效的日志记录和监视过程,则可能会增加网站危害的损害。示例一个小团队运行的一个开源项目论坛软件被利用其软件中的一个漏洞进行了黑客攻击。攻击者设法清除了包含下...原创 2020-03-19 12:39:52 · 2995 阅读 · 0 评论 -
OWASP top10(OWASP十大应用安全风险)之A9 使用具有已知漏洞的组件 (Using Components with Known Vulnerabilities)
TOP9 使用具有已知漏洞的组件 (Using Components with Known Vulnerabilities)简单的网站(例如个人博客)对其具有很大的依赖性。毫无疑问,如果不更新网站后端和前端上的每个软件,无疑会给人们带来沉重的安全风险,而不是迟早会带来风险。虽然这可能有点讽刺,但是每次您忽略更新警告时,您可能都允许一个已知的漏洞在您的系统中幸存。相信我,网络犯罪分子会迅速调查软件...原创 2020-03-19 08:15:05 · 3025 阅读 · 0 评论 -
OWASP top10(OWASP十大应用安全风险)之A8 不安全的反序列化 (Insecure Deserialization)
TOP8不安全的反序列化 (Insecure Deserialization)注意:OWASP Top 10指出,此安全风险是由行业调查添加的,并非基于可量化的数据研究。每个Web开发人员都需要使攻击者/安全研究人员尝试使用与应用程序交互的所有内容(从URL到序列化对象)的事实,使和平。在计算机科学中,对象是数据结构。换句话说,一种构造数据的方式。为了更容易理解一些关键概念:序列化的过程...原创 2020-03-18 21:37:37 · 3207 阅读 · 0 评论 -
OWASP top10(OWASP十大应用安全风险)之A7 跨站脚本(XSS)
跨站脚本(XSS)跨站点脚本(XSS)是一个广泛存在的漏洞,会影响许多Web应用程序。XSS攻击包括将恶意的客户端脚本注入网站,并将该网站用作传播方法。XSS背后的风险在于,它允许攻击者将内容注入网站并修改其显示方式,从而迫使受害者的浏览器在加载页面时执行攻击者提供的代码。XSS存在于所有应用程序的三分之二中。通常,XSS漏洞要求用户通过社交工程或通过访问特定页面来触发某种类型的交互。如果...原创 2020-03-18 21:37:01 · 2421 阅读 · 0 评论 -
OWASP top10(OWASP十大应用安全风险)之A6 安全性错误配置(Security Misconfigurations)
安全性错误配置(Security Misconfigurations)从本质上讲,蛮力是尝试许多可能的组合的行为,但是此攻击有多种变体,可以提高成功率。这是最常见的:未修补的缺陷默认配置未使用的页面未受保护的文件和目录不必要的服务网站管理员最常见的缺陷之一就是保持CMS默认配置。从安全角度来看,对于最终用户而言,今天的CMS应用程序(尽管易于使用)可能会很棘手。到目前为止,最常...原创 2020-03-18 16:48:40 · 2998 阅读 · 1 评论 -
OWASP top10(OWASP十大应用安全风险)之A5 存取控制中断(Broken Access Control)
存取控制中断(Broken Access Control)在网站安全中,访问控制意味着根据访问者的需求限制访问者可以访问的部分或页面。例如,如果您拥有一家电子商务商店,则可能需要访问管理面板才能添加新产品或为即将到来的假期设置促销。但是,几乎没有其他人会需要它。允许网站的其他访客访问您的登录页面只会使您的电子商务商店受到攻击。这就是当今几乎所有主要内容管理系统(CMS)的问题。默认情况下,他...原创 2020-03-18 16:34:43 · 3604 阅读 · 0 评论 -
OWASP top10(OWASP十大应用安全风险)之A4 XML外部实体(XXE)
TOP4 XML外部实体(XXE)XML外部实体攻击是对解析XML输入的应用程序的一种攻击。当弱配置的XML解析器处理包含对外部实体的引用的XML输入时,就会发生此攻击。默认情况下,大多数XML解析器容易受到XXE攻击。因此,确保应用程序不具有此漏洞的责任主要在于开发人员。XML外部实体攻击媒介如果恶意行为者可以上载XML或在XML文档中包含敌对内容的脆弱的XML处理器易受攻击的代码...原创 2020-03-18 11:31:27 · 2416 阅读 · 0 评论 -
OWASP top10(OWASP十大应用安全风险)之A3 敏感数据暴露(Sensitive Data Exposure)
TOP10 敏感数据暴露(Sensitive Data Exposure)敏感数据公开是OWASP列表上最普遍的漏洞之一。它包括损害应该受到保护的数据。敏感数据示例一些需要保护的敏感数据是:证书信用卡号码社会安全号码医疗信息个人身份信息(PII)其他个人信息我国于2016年11月7日颁布并于2017年6月1日正式生效的《中华人民共和国网络安全法》(简称“《网络安全法》”...原创 2020-03-17 20:33:41 · 3486 阅读 · 0 评论 -
OWASP top10(OWASP十大应用安全风险)之A2 认证失败(Broken Authentication)
top2 认证失败(Broken Authentication)损坏的身份验证漏洞可能使攻击者能够使用手动和/或自动方法来尝试控制他们在系统中想要的任何帐户,甚至更糟的是,获得对系统的完全控制。具有损坏的身份验证漏洞的网站在网络上非常常见。身份验证失败通常是指在应用程序身份验证机制上发生的逻辑问题,例如不良会话管理容易导致用户名枚举-恶意行为者使用蛮力技术猜测或确认系统中的有效用户时。为了最...原创 2020-03-17 09:11:49 · 3380 阅读 · 0 评论 -
OWASP top10(OWASP十大应用安全风险)之A1 注入 (Injection)
OWASP TOP10简介OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。top1 注入Injection当攻击者将无效数据发送到Web应用程序以...原创 2020-03-15 14:18:29 · 2389 阅读 · 0 评论