[原创]OWASP TOP TEN 2007 10大Web应用程序安全问题

最新推荐文章于 2024-02-24 11:55:12 发布
最新推荐文章于 2024-02-24 11:55:12 发布
阅读量122 收藏
点赞数
[原创]OWASP TOP TEN 2007 10大Web应用程序安全问题

    随着互联网网络的发展,Web产品的发展越来越快,Web产品本身具备自身的特点及弱点,不可避免的存在一定的风险,在风险控制环节安全问题尤为重要,以下是10大Web应用程序安全问题:

 

序号

内容

说明

1

跨站脚本漏洞

Web应用程序直接将来自使用者的执行请求送回浏览器执行,使得攻击者可获取使用者的Cookie或Session信息而直接以使用者身份登陆

2

注入类问题

Web应用程序执行在将用户输入变为命令或查询语句的一部分时没有做过滤,SQL 注入, 命令注入等攻击包括在内

3

任意文件执行

Web应用程序引入来自外部的恶意文件并执行

4

不安全的对象直接引用

攻击者利用Web应用程序本身的文件操作功能读取系统上任意文件或重要资料

5

跨站请求截断攻击

已登入Web应用程序的合法使用者执行恶意的HTTP指令,但Web应用程式却当成合法需求处理,使得恶意指令被正常执行

6

信息泄露

Web应用程序的执行错误信息中包含敏感资料,可能包括系统文件路径,内部IP地址等

7

用户验证和Session管理缺陷

Web应用程序中自行撰写的身份验证相关功能有缺陷

8

不安全的加密存储

Web应用程序没有对敏感性资料使用加密、使用较弱的加密演算法或将密钥储存于容易被获取之处

9

不安全的通信

Web应用经常在需要传输敏感信息时没有使用加密协议

10

没有对URL路径进行限制

某些网页因为没有权限控制,使得攻击者可透过网址直接存取

 附一张国外研究机构对10大Web应用程序安全问题统计图

 

 

weixin_33898876
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OWASP TOP 10
weixin_59616219的博客
12-20 4788
OWASP TOP 10
OWASP TOP 10 2019
lxy123_com的博客
03-10 748
1,A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 2,A2:2017-失效的身份认证 通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。 3,A3:2017-敏感数据泄露 许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据
OWASP TOP 10 – 终极漏洞指南(2021)
热门推荐
琦彦
09-29 3万+
OWASP Top 10 是由开放 Web 应用程序安全项目 (OWASP) 建立的,该项目是一个非营利组织,可免费提供有关 Web 应用程序安全的文章和其他信息。 目录 什么是OWASP? 什么是 OWASP10 名? OWASP10 名名单 1.注入攻击 2. 破解认证 3. 敏感数据暴露 4. XML 外部实体 (XXE) 5. 破坏访问控制 6. 安全配置错误 7. 跨站脚本(XSS) 8. 不安全的反序列化 9.使用已知漏洞的组件 10. 日志记录和监控.
【渗透测试】OWASP TOP10
网络安全从业者的学习笔记
05-24 1万+
OWASP Web App TOP10是由开放式Web应用程序安全项目组织(OWASP)提出的“十大安全风险列表”,总结了Web应用程序最通用的十大安全风险,旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程,从而提高Web产品的安全性。
OWASP组织简介
qq_55857040的博客
12-13 2198
OWASP开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。 OWASP项目最具权威的就是其“十大安全漏洞列表”(OWASPTop 10),OWASP Top 10不是官方文档或标准,而只是一个被广泛采用的意识文档,被用来分类网络安全漏洞的严重程度,目前被许多漏洞奖励平台和企业安.
OWASP top 10漏洞详解
mw_myever的博客
10-11 1万+
一、漏洞介绍  Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 二、漏洞详情 Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。 使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限。 攻击者可利用该漏洞
果汁店:OWASP果汁店:可能是最现代,最复杂的不安全Web应用程序
02-04
OWASP Juice Shop可能是最现代,最复杂的不安全Web应用程序! 它可以用于安全培训,意识演示,CTF和用作安全工具的豚鼠! Juice Shop涵盖了整个漏洞,以及在实际应用中发现的许多其他安全漏洞! 有关详细介绍,...
预防Web应用程序的漏洞
02-03
如今的Web应用程序可能会包含危险的安全缺陷。这些应用程序的全球化部署使其很容易遭受攻击,这些攻击会发现并恶意探测各种安全漏洞。Web环境中两个主要的风险在于:注入——也就是SQL注入,它会让黑客更改发往...
NodeGoat:OWASP NodeGoat项目提供了一个环境,以了解OWASP十大安全风险如何应用于使用Node.js开发的Web应用程序以及如何有效地解决它们
02-02
该项目提供了一个环境,以了解OWASP十大安全风险如何应用于使用Node.js开发的Web应用程序以及如何有效解决这些问题。 入门 OWASP针对Node.js Web应用程序的前10名: 知道! 介绍了OWASP十大漏洞中的每一个如何在...
vulpy:易受攻击的Python应用程序以学习安全开发
02-05
掌握OWASP Top Ten等安全标准,遵循安全编码的最佳实践,如最小权限原则、加密敏感数据、使用安全的库和框架版本等,都是保障Web应用安全的重要环节。 通过深入学习和实践`vulpy`项目,开发者可以增强对Web应用...
2004&2007&2010&2013&2017 OWASP TOP 10.rar
04-12
压缩包中包括OWASP top10 从2004年、2007年、2010年、2013年和2017年5次发布的OWASP top 10,是研究网络安全的好材料。
Web应用程序安全性缺陷检测
09-14
撇开语言和平台来讲,Web应用程序的源代码是入侵缺陷的主要来源。CSI(计算机安全协会)有关安全缺陷来源分布的一项调查显示,64%的缺陷来源于程序错误,其他36%则与配置有关。在本文里,作者将说明如何对一个用ASP.NET编写的Web例子应用程序做自动化审查,并制作了一个Python脚本工具用于做源代码分析
owasp10:Open Web Application Security Project Top10(2017)-演示演示
05-03
OWASP Top10演示(2017) cd owasp10 bundle make reset server 然后转到0.0.0.0:3000
OWASP TOP10 漏洞介绍中文版
04-21
OWASP_Top_10_2013-Chinese-V1.2 OWASP组织提供的前10漏洞清单 互联网运营必看
Web安全常见漏洞原理、危害及其修复建议
Karka_的博客
11-03 153
(当文件上传时,如果服务端的脚本语言没有对上传的文件进行检查和过滤,那假如,渗透者直接上传恶意代码文件,那么就有可能直接控制整个网站,或者说以此为跳板,直接拿下服务器,这就是文件上传漏洞。②csrf攻击之所以能成功,是因为攻击者伪造用户的请求,所以抵御csrf的关键在于:在请求中放入攻击者不能伪造的请求,例如,可以在HTTP请求中加入一个随机产生的token,并在服务器端验证token,如果请求中没有token或者token内容不正确,则认为请求可能是csrf攻击,从而拒绝该请求。
OWASP Top 10 详细解读
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
02-24 1732
A01:2021-访问控制破坏从第五位上升。94%的应用程序进行了某种形式的访问控制中断测试。映射到Broken Access Control的34个通用缺陷枚举(CWE)在应用程序中的出现次数比任何其他类别都多。A02:2021-加密机制失效上升一位至第2位。以前称为敏感数据暴露,这是普遍的现象,而不是根本原因。这里重新关注的是与加密相关的故障,这些故障通常会导致敏感数据暴露或系统受损。A03:2021-注入下滑至第3位。
网络安全入门必知的OWASP top 10漏洞详解
瓦罗兰特顶级C位的博客
08-04 4917
首先介绍下OWASP开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
2020-4-24 Open Web Application Security Project (OWASP)
weixin_42555985的博客
04-24 1588
英文 中文 The Open Web Application Security Project (OWASP) is a nonprofit foundation that works to improve the security of software. Through community-led open source software projects, hundreds of local...
OWASP_Top_10_2017_中文版v1.3.pdf
04-10
OWASP Top 10 2017是一个关于Web应用程序安全风险的重要报告,它提供了对当今最严重的安全威胁的概述。该报告基于OWASP(开放Web应用程序安全项目)的数据和研究,旨在帮助组织和开发人员理解并应对这些风险。 在本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值