owasp Top10
文章平均质量分 76
网 安 云
这个作者很懒,什么都没留下…
展开
-
OWASP TOP 10之安全配置错误
通常,攻击者能够通过未修复的漏洞访问默认账户、不再使用的页面、未受保护的文件和目录等来取得对系统的未授权的访问或了解。安全配置错误可以发生在一个应用程序堆栈的任何层面,包括网络服务、平台、Web服务器、应用服务器数据库、框架、自定义代码和预安装的虚拟机、容器和存储。安全配置错误可能发生在应用程序堆栈的任何级别,包括网络服务、平台、Web服务器应用服务器、数据库、框架、自定义代码和预安装的虚拟机、容器。一个能在组件和用户间提供有效的分离和安全性的分段应用程序架构,包括: 分段、容器化和云安全组。原创 2024-03-06 16:51:48 · 367 阅读 · 0 评论 -
网安云知识 | OWASP TOP 10之使用含有已知漏洞的组件
这种安全漏洞非常普遍。基于组件开发的模式使得多数开发团队根本不了解其应用或API中使用的组件,更谈不上及时更新这些组件了。如Retire.js之类的扫描器可以但这类漏洞是否可以被利用还需花费额外的时间去研究。虽然对于一些已知的漏洞其影响很小,但目前很多严重的安全事件都是利用组件中的已知漏洞。根据你所要保护的资产,此类风险等级可能会很高。1、漏洞产生原因开发者只关注自己开发的代码,不关心使用的第三方代码安全。开发者不知道自己所有使用的组件或依赖的组件版本信息(包括: 服务端和客户端)。原创 2024-02-23 10:24:09 · 419 阅读 · 0 评论 -
owasp top10之不安全的反序列化
Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。将序列化对象写入文件之后,可以从文件中读取出来,并且对它进行反序列化,也就是说,对象的类型信息、对象的数据,还有对象中的数据类型可以用来在内存中新建对象。序列化和反序列化本身并不存在问题,但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象。这一问题包括在Top 10的行业调查中,而不是基于可量化的数据。原创 2024-01-22 16:47:39 · 1188 阅读 · 0 评论 -
网安云知识 | OWASP TOP 10解析 之跨站脚本攻击
XSS对于反射和DOM的影响是中等的,而对于存储的XSS,XSS的影响更为严重,譬如在受攻击者的浏览器上执行远程代码,例如: 窃取凭证和会话或传递恶意软件等。在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。DOM XSS 取决于输出位置,并不取决于输出环境,因此它既有可能是反射型的,也有可能是存储型的,简单去理解就是因为他输出点在DOM。原创 2024-01-15 14:14:19 · 961 阅读 · 0 评论 -
网安云知识 | OWASP TOP 10 之敏感数据泄露
在数据传输过程中使用明文传输,这和传输协议相关,如: HTTP、SMTP和FTP数据存储时使用旧的或脆弱的加密算法使用默认加密密钥;缺少适当的密钥管理或轮未强制加密,例如用户代理(浏览器)安全指令或头文件缺失用户代理(例如,应用程序,邮件客户端)未验证接收到的服务器证书是否有效。在数据加密过程中,常见的问题是不安全的密钥生成和管理以及使用弱加密算法、弱协议和弱密码。们需要对敏感数据加密,这些数据包括: 传输过程中的数据、存储的数据以及浏览器的交互数据。确保传输过程中的数据被加密,如:使用TLS。原创 2024-01-03 09:58:10 · 913 阅读 · 1 评论 -
OWASP TOP 10 之失效的访问控制
以未通过身份验证的用户身份强制浏览需要通过身份验证时才能看到的页面、或作为标准用户访问具有相关权限的页面、或API没有对POST、PUT和DELETE强制执行访问控制。允许将主键更改为其他用户的记录,例如查看或编辑他人的帐户特权提升。失效的访问控制通常导致未经授权的信息泄露、修改或销毁所有数据、或在用户权限之外执行业务功能。技术影响是攻击者可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。元数据操作,如重放或篡改 JWT 访问控制令牌,或作以提升权限的cookie 或隐藏字段。原创 2023-12-22 14:50:11 · 377 阅读 · 0 评论 -
Owasp Top10 漏洞解析 之注入
注入漏洞通常能在SQL、LDAP、XPath或是NoSQL查询语句、OS命令、XML解析器、SMTP包头、表达式语句及ORM查询语句中找到。将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入NoSQL注入、OS 注入和LDAP注入的注入缺陷。基于布尔的盲注、基于时间的盲注、基于报错注入、联合查询注入、堆查询注入、宽字节注入。OS 注入、LDAP注入、HTML注入、Xpath注入、shell注入表达式注入。代码审计,代码审计是最有效的检测应用程序的注入风险的办法之一;原创 2023-12-13 16:46:54 · 513 阅读 · 0 评论