OWASP—Top10(2021知识总结)

最新推荐文章于 2024-06-04 07:26:03 发布
最新推荐文章于 2024-06-04 07:26:03 发布
阅读量694 收藏 1
点赞数
分类专栏: 面试 学习路线 阿里巴巴 文章标签: web安全 安全 http database 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web15286201346/article/details/125213585
版权

OWASP top10

2021年版TOP 10产生三个新类别,且进行了一些整合

考虑到应关注根本原因而不是症状。

image-20220323104223843

A01:失效的访问控制

从第五位上升称为Web应用程序安全风险最严重的类别,常见的CWE包括:将敏感信息泄露给未经授权的参与者、通过发送的数据泄露敏感信息、跨站请求伪造(csrf)

风险说明:

访问强制实施策略,使用户无法在其预期权限之外操作。失败的访问控制通常导致未经授权的信息泄露,修改或者销毁所有数据,或在用户权限之外执行业务功能。

常见的访问控制脆弱点:

  • 违法最小权限原则或默认拒绝原则,即访问权限应只授予特定能力、角色或用户,但实际上任何人都可以访问
  • 通过修改URL(参数修改或强制浏览),内部应用程序状态或者HTML页面,或者使用修改API请求的攻击工具绕过访问控制检查
  • 通过提供唯一的标识符允许查看或编辑他人账户
  • API没有对POST、PUT和DELETE强制执行访问控制
  • 特权提升,在未登陆的情况下假扮用户或以用户身份登入时充当管理员

预防措施

开发人员和QA人员应进行访问控制功能的单元测试和集成测试

访问控制只在受信服务器端代码或者无服务器API中有效,这样攻击者才无法修改访问控制检查或元数据

  • 除公有资源外,默认访问拒绝

  • 使用一次性的访问控制机制,并在整个应用程序中不断重用它们,包括最小化跨资源共享(CORS)的使用

  • 建立访问控制模型以强制执行所有权记录,而不是简单接受用户创建、读取、更新或删除的任何记录

  • 在日志中记录失败的访问控制,并在适当时向管理员告警(例如:重复故障)

A02:加密机制失效

上升一位到第二位,以前称为“敏感数据泄露”。敏感数据泄露更像是一种常见的表象问题而不

最低0.47元/天 解锁文章
web15286201346
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP-TOP10-2021中文版V1.0发布
01-22
OWASP-TOP10-2021中文版V1.0发布 OWASP Top 10是开源网络应用安全项目,旨在帮助开发者和安全专业人士了解和防止常见的网络应用安全风险。2021年版OWASP Top 10发布,带来了许多变化和改进。本文将对OWASP Top 10的...
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
OWASP-TOP10-2021 中文版V1.0.pdf 本资源为 OWASP-TOP10-2021 中文版V1.0.pdf,是一个关于 Web 应用程序安全的指南,旨在帮助开发者和安全专家识别和避免常见的安全风险。该资源涵盖了 OWASP-TOP10-2021 的项目介绍...
OWASP top 10漏洞详解
热门推荐
mw_myever的博客
10-11 1万+
一、漏洞介绍  Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 二、漏洞详情 Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。 使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限。 攻击者可利用该漏洞
OWASP TOP 10 漏洞指南(2021
一期一会的博客
02-11 8642
什么是OWASP TOP 10? OWASP,全称“开放式Web应用程序安全项目”是一个非营利性的组织,2003年该组织首次出版了“Top 10”,也就是10项最严重的Web应用程序安全风险列表。 Top 10 总结Web应用程序最可能、最常见、最危险的十大安全漏洞。 近几年OWASP TOP的变化 A1 失效的访问控制 概述 失效的访问控制,也叫越权,攻击者通过各种手段提升自己的权限,越过访问控制,使访问控制失效,这样攻击者就可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。
OWASP TOP 10解析:构建坚不可摧的Web应用安全防线
最新发布
Innocence_0的博客
06-04 671
OWASP TOP10是一个重要的安全指南,涵盖了Web应用程序中最常见的安全风险。在本文中,我们详细讨论了其中的一部分项目,并提供了具体的示例和安全测试代码。以下是一些总结性的建议:定期安全审计: 对Web应用程序进行定期的安全审计,包括代码审查、渗透测试等,以发现潜在的安全问题。持续更新和监控: 确保应用程序使用的所有组件和库都是最新版本,及时修补已知的安全漏洞。实施足够的日志记录和监测,以便及时发现和响应安全事件。
Hack The Box - appointment关卡
sweetie 的博客
05-29 875
我们与 Gobuster 一起使用什么开关来指定我们要发现目录,而不是子域?访问目标地址,发现是个登陆页面,username:admin '#,password随意,尝试登陆,成功登陆并获取flag。网页上返回的第一个单词是什么?此漏洞的 2021OWASP 前 10 名分类是什么?在 MySQL 中,可以使用哪个字符来注释掉一行的其余部分?对于“未找到”错误,给出的 HTTP 响应代码是什么?最常见的 SQL 漏洞类型之一是什么?HTTPS 协议使用的标准端口是什么?首字母缩略词SQL代表什么?
Hack The Box - TIER 1 - Appointment Sequel Crocodile
Tajang的大千世界
03-01 6985
二探HTB
Hack The Box-Appointment
ffff5的博客
11-26 476
Hack The Box 基础靶场Appointment 通关笔记
OWASP-TOP10-2021中文版V1.0
01-28
OWASP TOP 10 2021 中文版 V1.0 OWASP TOP 10 2021 中文版 V1.0 是一个全新的、使用新图形设计的项目,旨在提高 Web 应用程序的安全性。该项目提供了一个详细的清单,涵盖了当前最常见的十大安全风险,旨在帮助...
owasp top10漏洞讲解
07-22
web渗透之逻辑漏洞,1. 注入 2. 失效的身份认证和会话管理 3. 跨站攻击 4. 不安全的对象直接引用 5. 伪造跨站请求 6. 安全配置错误 7. 限制URL访问失败 8. 未验证的重定向和转发 9. 应用已知脆弱性的组件 ...
OWASP TOP10 2017思维导图
04-03
应对暑期实习笔试面试,最近整理了一些相关材料,此份思维导图权且帮助自己掌握知识。个人整理可能会有错误,请见谅。
OWASP Top 10 2021简介
kudos123的博客
09-10 811
https://owasp.org/Top10/#category-relationships-from-2017 欢迎来到 OWASP Top 10 的最新一期!OWASP Top 10 2021 是全新的,具有新的图形设计和可用的一页信息图,您可以打印或从我们的主页获取。 非常感谢为本次迭代贡献时间和数据的所有人。没有你,这一期就不会发生。谢谢。 2021 年前 10 名发生了什么变化 有三个新类别,四个类别的命名和范围发生了变化,并在 2021 年的前 10 名中进行了一些合并。 2017 年 .
OWASP安全编码规范快速参考指南
煜铭2011
10-09 5092
0x00 原则 概览      开发安全的软件需要对安全原则有基本的了解。虽然对于安全原则的全面评估超出了本指南的范围,但是我们还是提供了一个快速的概览。软件安全的目标是要维护信息资源的 保密性 ,  完整性 ,和 可用性 ,以确保业务的成功运作。该目标通过实施 安全控制 来实现。本指南重点介绍具体的技术控制,以 缓解 常见软件 漏洞 的发生。虽然主要的关注点是 Web应用程序及其配套的基础设施
OWASP 安全编码规范 快速参考指南
Websec
11-27 1728
原文pdf:http://www.owasp.org.cn/owasp-project/download/OWASP_SCP_Quick_Reference_GuideChinese.pdf 1、序言 本项目与技术无关的文档以清单列表的形式,定义了一套可以集成到软件开发生命周期中的通 用软件安全编码规范。采用这些规范将减少最为常见的软件漏洞。 一般来说,开发安全的软件要比在软件包完成以后再纠正安全问题的成本低很多,且还没涉 及到因为安全问题而造成的损失。 保护关键软件资源的安全性,比以往任...
OWASP TOP 10-2021详解
m0_70483044的博客
12-02 2094
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应该会的应用知识。2003年该组织首次出版了“Top 10”,也就是10项最严重的Web应用程序安全风险列表。
做网安必看的OWASP TOP 10(2021)最新榜单
weixin_55821558的博客
03-30 6846
近日,OWASP发布2021年草案,全新的OWASP Top 10正式发布。 2021年的OWASP Top10 发生了很多变化,新增三个类别,四个类别的命名和范围也发生了变化,同时对top10进行了一些合并。 值得一提的是,“失效的访问控制”这一漏洞从2017年的第五名,取代“注入”,跃居榜首,成为最大的应用软件安全风险。 什么是OWASP Top 10 OWASP,全称“开放式We...
OWASP Top10学习
m0_60466340的博客
12-13 283
OWASP Top10是什么? 首先介绍下OWASP,开放式Web应用程序安全 项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 OWASP项目最具权威的就是其“十大安全漏洞列表”(OWASPTop 10),OWASP Top 10不是官方文档或标准,而只是一个被广泛采用的意识文档,被用来分类网络安全
Owasp Top10 2020
在下小黄的博客
06-29 1184
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 今天更新的是: Owasp Top10 2020 创建时间:2021年6月29日 Owasp Top10 2020一、注入(SQL-注入)如何防止代码注入漏洞从这些建议中,您可以抽离出两件事(总结):二、失效身份验证和会话管理(存在暴利破解)如何防范:三、敏感信息泄露如何防止数据泄露四、XML外部实体注入攻击(XXE)如何防止XML外部实体注入攻击五、存取控制中断如何防止访问控制中断六、安全性错误配置(使用CMS的默认
OWASP Top10 2020
yxiangfei的博客
10-25 1万+
OWASP Top 10 2020什么是OWASP漏洞简介1. Top1-注入2.失效身份验证和会话管理3.敏感信息泄露4.XML外部实体注入攻击(XXE)5.失效访问控制6.安全性错误配置7.Cross-Site-Scripting(XSS)8.不安全的反序列化9.使用具有已知漏洞的组件10.日志记录和监控不足 什么是OWASP 之前主要是做二进制,最近找工作的时候看到很多公司要求掌握WEB漏洞,所以简单地学习一下。OWASP(Open Web Application Security Project)是
owasp top10 2021
04-04
OWASP Top 10 2021年是一份由Open Web Application Security Project(OWASP)发布的报告,旨在列出当前最常见的Web应用程序安全风险。以下是OWASP Top 10 2021年的概述: 1. 失效的身份验证和会话管理 攻击者可能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值