OWASP-前言

最新推荐文章于 2023-09-20 16:47:11 发布
最新推荐文章于 2023-09-20 16:47:11 发布
阅读量878 收藏
点赞数 1
分类专栏: OWASP专题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/silencediors/article/details/104110182
版权

为啥要写

OWASP这个组织成员大多都是应用层安全的大佬,所以提出的很多应用层安全体系都被封为业内的标准。

安全服务难免要跟落地的应用层安全打交道,而且应用层安全对于安服块向来是占比较大,所以很有必要对OWASP整个安全TOP10所有的细枝末节吃一遍。

网上很多关于OWASP TOP10的文章,要么仅仅是13年和17年的简单对比,要么是某一个比如注入、XXE等等的专题介绍。而OWASP官方提供的TOP10虽然很好很全面,但是对某些细节的技术点确是一笔带过。

个人观点

个人觉得对于某些漏洞,需要深入了解,但是也不需要深入,似乎听起来很矛盾。

举个例子,对于XSS漏洞,我们需要深度了解构成原理,某些HTML语言的特性,浏览器解析顺序,绕过、利用方式。但是我们不需要去深入了解所有的变形、各种各样的利用方式、CSP等,我们仅仅需要知道,了解即可。因为其一会局限我们的思维,其二是可能会带到一个牛角尖和一个新的领域去了。

silencediors
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP安全编码规范1
08-03
2012 年 8 月目录序言 3软件安全与风险原则概览 4输入验证: 5输出编码: 5身份验证和密码管理: 6会话管理: 7访问控制: 7加密规范: 8错误处理
OWASP测试指南中文版
12-30
OWASP 测试指南中文版共分为十一章,分别是前言、谁有需要、OWASP 指南、优先级、自动化工具的作用、行动呼吁、致谢与译者声明、首页、欢迎使用 OWASP 测试指南 3.0、关于 OWASP 等。每一章节都涵盖了具体的测试步骤...
2021-09-09
silencediors的博客
09-09 99
博客断更!!!! 最近遇到了很多事,发现自己还没有到与人分享、与人为师的阶段。目前还是在一个很初级的学习阶段,文章不能流畅的写出来不写也罢。 青山不改,绿水长流,学有所成,再做分享 ...
第4天:RoarCTF-Polyre学习
S1lenc3的博客
11-03 748
之前看到过一次平坦化的题,不是很复杂,就纯分析,这次这个实在太狠了。所以学习了一下脚本的使用。 https://github.com/cq674350529/deflat 这个angr安装可能会踩很多坑,我已经忘了怎么踩得了,就不过多讲解了,自行安装。 然后使用defalt.py进行去除平坦化, 成功去除后,代码看着舒服多了。 但是会发现有很多永远为真的跳转,迷惑人的,叫虚假...
OWASP
qq_42812036的博客
02-18 287
漏洞成因、原理、攻击的方法、防范的方法、攻击与防范的技巧。 SSRF SSRF(服务器端请求伪造) 成因:其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制 导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据 数据流:攻击者----->服务器---->目标地址(一般用来在外网探测或攻击内网服务) ...
RoarCTF2019web题-easy_java writeup
silencediors的博客
10-16 6612
RoarCTF2019web题-easy_java 作为团队最强的web选手(就我一个),这次的比赛也没时间打,把简单的题放一下,前面要说下,做web宁可把题目想简单,也不要想复杂,因为现在的web题出题人越来越厉害(gou)(怀念以前查看源码就得flag的时代),出题的把握可能也没那么好,思维多次引导的话就可能走岔路,就像这题我开始一直在想反序列化和upload流上传的事,甚至是tomcat那个...
OWASP-安全编码规范
qq_21193587的博客
05-31 5525
OWASP-安全编码规范 原文 pdfhttp//www.owasp.org.cn/owasp-project/download/OWASP_SCP_Quick_Reference_GuideChinese.pdf 1. 序言 本项目与技术无关的文档以清单列表的形式,定义了一套可以集成到软件开发生命周期中的通 用软件安全编码规范。采用这些规范将减少最为常见的软件漏洞。 一般来说,开发安全的软件要比在软件包完成以后再纠正安全问题的成本低很多,且还没涉 及到因为安全问题而造成的损失。 保护关键软件资源的安全性,
jenkins中添加sonnarqube与OWASP Dependency-Check
著名艺术家
09-20 1106
jenkins sonarqube代码检查 owasp dependency-check 漏洞扫描
小白必看!OWASP top 10详解
qq_54803507的博客
09-25 1万+
OWASP top 10
web渗透测试----29、OWASP TOP 10----2017版
七天
01-11 267
OWASP top 10 漏洞   OWASP Top 10是Web应用程序中最常见的漏洞列表。下文针对这10种漏洞分类,对不同的类别加以汇总。 文章目录OWASP top 10 漏洞前言A1、注射(注入)1.代码注入2.框架注入标题A2、身份验证和会话管理中断A3、跨站脚本(XSS)1.存储型XSS2.反射型XSS3.DOM型XSSA4、不安全的直接对象引用A5、安全性配置错误A6、敏感数据公开A7、缺少功能级别访问控制A8、跨站点请求伪造(CSRF)A9、使用已知漏洞的组件A10、未经验证的重定向
OWASP——简介及认识
热门推荐
cas的无名博客
02-25 4万+
OWASP Top 10<2010,2013>
OWASP 容器安全十大风险1
08-03
1.前言1.1. 简介实施容器化环境不仅改变了部署方式,而且对系统和网络级别以及硬件和网络资源的使用方式都产生了巨大影响。本文档可帮助您保护容器化环境及其安全性
OWASP安全编码规范快速参考指1
08-04
**序言** OWASP(开放式网络应用安全项目)是一个全球性的非营利组织,致力于提高软件安全意识,并提供免费的资源来帮助开发人员构建更安全的应用程序。OWASP安全编码规范快速参考指南是针对开发人员的一份实用文档...
移动安全测试指南(MSTG)是用于移动应用安全开发,测试和逆向工程的综合手册。-Python开发
05-25
OWASP移动安全测试指南这是OWASP移动安全测试指南(MSTG)的官方GitHub存储库。 MSTG是用于移动应用程序安全性测试和逆向工程的综合手册。 OWASP移动安全测试指南这是OWASP移动安全测试指南...目录引言引言前言引言
matlab下载.pdf
07-14
matlab下载下载方式及注意事项
Android系统原理及开发要点详解-从入门到精通
07-13
Android系统原理及开发要点详解 Java4 Android视频教程 Android开发视频教学 从入门到精通 Android的软件管理器的开发教程视频 Android深入浅出_Android高端课程分享试听 JavaWeb Android系统的手机防盗软件的实现 Android开发入门与实战随书视频 视频列表.txt 0.0MB 开发入门与实战代码.rar 6.1MB 第9章 我来“广播”你的“意图”——Intent和Broadcast面对面.wmv 15.1MB 第8章 移动信息仓库——Android的数据存储操作之轻轻地我保护——SharedPreferences存储-2.wmv 0.6MB 第8章 移动信息仓库——Android的数据存储操作之轻轻地我保护——SharedPreferences存储-1.wmv 24.3MB 第8章 移动信息仓库——Android的数据存储操作之Android数据存储概述.wmv 57.7MB 第7章 良好的学习开端——Android基本组件介绍之友好地互动交流——对话框(Dialog)介绍与实例-2.wmv 7.
GESP等级认证 2024年6月 C++一级真题
最新发布
07-14
GESP等级认证 2024年6月 C++一级真题 从官网上刚刚下载下来的,题都是热乎的,这可是最新真题 大家看一看瞧一瞧,走过路过不要错过,免费下载,全篇无水印,不好用随便吐槽我! 涵盖选择题,判断题,编程题,基础知识多,满满的干货,非常建议下载!!!!! 萌新小白来做做题,复习巩固都很合适!
大学生创业计划书(35)三份资料.doc
07-14
大学生创业计划书(35)三份资料.doc
OWASP-vbox
10-12
OWASP-vbox 是一个基于 VirtualBox 的虚拟机,旨在为安全测试人员提供一个预先配置好的环境,以进行各种安全测试和漏洞利用。 该虚拟机包含了许多流行的安全工具和漏洞利用框架,如 Metasploit、Burp Suite、SQLMap...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值