阐述OWASP TOP10的演变过程

于 2023-03-17 18:28:23 发布
阅读量263 收藏 1
点赞数
文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61896252/article/details/129626177
版权

OWASP TOP 10

版本

2013

2017

2021

A1

Iniection注入攻击

Iniection注入攻击

失效的访问控制

Broken Access Control

A2

失效的验证与连接管理

Broken Authentiaction and Session Management

失效的身份验证

Broken Authentiaction

加密机制失效

Cryptographic

Failures

A3

Cross-Site Scripting

跨站脚本攻击

Sensitive Data Exposure

敏感数据泄露

Injection

注入

A4

Insecure Direct Oibect Reference

不安全的直接对象引用

XML External Entity(XEE)

XML外部实体漏洞

Insecure Design

不安全设计

A5

Security Misconfiguration

安全配置错误

Broken Access Contral

无效的访问控制

Security Misconfiguration

安全配置错误

A6

Sensitive Data Expose

敏感数据泄露

Security Misconfiguration

安全配置错误

Vulnerable and Outdated Components

自带缺陷和过时组件

A7

Mission Function Level Access Contral

缺少功能级别的访问控制

Cross-Site Scripting

跨站脚本攻击

Identification and Authentication Failures

身份识别和身份验证错误

A8

Cross-Site Request

Forgery(CSRF)

跨站请求伪造

Insecure Deserialization

不安全的反序列化漏洞

Software and Data

Integrity Failures

软件和数据完整性故障

A9

Using Components with Known Vulnerabilities

使用含有已知漏洞的组件

Using Known Vulnerable Components

使用含有已知漏洞的组件

Security Logging and Monitoring Failures

安全日志和监控故障*

A10

Unvalidated Redirects and Forwards

未验证的重定向与转发

Insuficient Logging &Monitoring

日志与监控不足

Server-Side Request Forgery

服务端请求伪造

小郭永不脱发
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OWASP TOP 10
追风筝的孩子
08-02 715
       在渗透测试中,OWASP TOP 10是比较重要的一个知识点。OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。被用来分类网络安全漏洞的严重程度,...
渗透学习的基础和关于 渗透学习的总结OWASP TOP 10的演化
qq_52934910的博客
12-23 711
1、必备基础:HTML 与 JavaScript(xss必学)。 2、至少选择一种操作系统:Windows为主要学习方向,例如:DOS命令; 3、至少选择一种搭建平台服务:Apache为主要学习方向,例如:Apache配置、搭建; 4、至少选择一门编程语言:PHP为主要学习方向,例如:熟悉PHP语法; 5、至少选择一种数据库:Mysql为主要学习方向,例如:熟悉Mysql语句; 学会使用od pd ce 等工具 A01:2021-Broken Access Control从第五位上...
2021 OWASP Top 10榜单及变化
最新发布
m0_61974571的博客
10-12 358
是2021年新增的类别。虽然数据显示其发生率相对较低,但测试覆盖率却高于平均水平,并且漏洞利用和影响潜力的评级也高于平均水平。该类别是行业安全专家为我们预警的一种重要场景,尽管目前并没有数据能够证实其危险性。
2017 OWASP十大安全趋势榜单变化解析
weixin_34138139的博客
08-09 351
OWASP十大安全趋势榜单会根据当权安全形式不时对内容进行调整,旨在更好地反映现实情况的具体变化。 而作为内容调整的核心议题,可以看到越来越多从业者意识到应用程序安全性必须立足于软件开发流程。 应用程序与API的安全威胁格局正在不断变化,促成这种演变的关键性因素则包括新型技术的快速普及(包括云计算、容器与API)、软件开发流程(如敏捷开发与DevOps)...
Owasp Top10 2020
在下小黄的博客
06-29 1184
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 今天更新的是: Owasp Top10 2020 创建时间:2021年6月29日 Owasp Top10 2020一、注入(SQL-注入)如何防止代码注入漏洞从这些建议中,您可以抽离出两件事(总结):二、失效身份验证和会话管理(存在暴利破解)如何防范:三、敏感信息泄露如何防止数据泄露四、XML外部实体注入攻击(XXE)如何防止XML外部实体注入攻击五、存取控制中断如何防止访问控制中断六、安全性错误配置(使用CMS的默认
owasp top10漏洞讲解
07-22
web渗透之逻辑漏洞,1. 注入 2. 失效的身份认证和会话管理 3. 跨站攻击 4. 不安全的对象直接引用 5. 伪造跨站请求 6. 安全配置错误 7. 限制URL访问失败 8. 未验证的重定向和转发 9. 应用已知脆弱性的组件 ...
OWASP TOP10 2017思维导图
04-03
应对暑期实习笔试面试,最近整理了一些相关材料,此份思维导图权且帮助自己掌握知识。个人整理可能会有错误,请见谅。
OWASP top10.zip
04-24
OWASP最新版本
owasp top10 2017 最新版
01-23
owasp top10 2017 最新版,包含与owasp top10 2013的对比,
OWASP Top 10 2017
05-03
OWASP Top 10 2017 v1.3.pdf,2018年最新,上传于2018年5月3日。
OWASP十大安全漏洞解析
11-08
结和学习了2017年新发布的owasp top 10 十大漏洞,每个漏洞从原理、案列、解决方法上进行阐述
OWASP-TOP10解读之概述
hobby云说
04-28 1281
OWASP全称是:Open Web Application Security Project,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。 圈内有这么一句话,“互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了”。还有这么一句话,“这世界上只分两种公司,一种是被黑过,另一种是被黑了还不知道的”,那么你公司是哪种呢?随着互联网的爆发,安全漏洞也连年增长,2020年NVD漏...
OWASP top 10简介
weixin_43155143的博客
05-19 753
前言: 关注网络安全的人都知道,OWASP Top10是每一位渗透测试人员都必须要深入了解和学习的.今天我就给大家简单聊聊.如果大家喜欢的话,后续也会给大家详细更新每一种常见漏洞的原因,场景,以及防护手段.有需要的可以点赞关注一下,免得下次找不到啦! OWASP Top10是什么? 首先介绍下OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公
2021年新版OWASP10有哪些变化?
告白的博客
01-07 891
0x00 2021年版Top10有哪些变化? 官方:2021年版Top10产生了三个新类别,原有四个类别的命名和范围也发生了变化,且进行了一些整合。考虑到应关注根本原因而非症状,我们更改了一些类别的名称(*来源于社区调查结果)。 0x01 TOP10变化的解读 A01:2021-失效的访问控制 Broken Access Control 从第5位上升成为Web应用程序安全风险最严重的类别;提供的数据表明,平均3.81%的测试应用程序具有一个或多个CWE,且此类风险中CWE总发生漏洞应用数超过31.8
web漏洞类型概述(owasp top10笔记)
xiaobai_20190815的博客
06-08 3402
owasp top10
OWASPTop10(2021知识总结)
热门推荐
IerkeU的博客
03-23 4万+
OWASP top10 2021年版TOP 10产生三个新类别,且进行了一些整合 考虑到应关注根本原因而不是症状。 A01:失效的访问控制 ​ 从第五位上升称为Web应用程序安全风险最严重的类别,常见的CWE包括:将敏感信息泄露给未经授权的参与者、通过发送的数据泄露敏感信息、跨站请求伪造(csrf) 风险说明: ​ 访问强制实施策略,使用户无法在其预期权限之外操作。失败的访问控制通常导致未经授权的信息泄露,修改或者销毁所有数据,或在用户权限之外执行业务功能。 常见的访问控制脆弱点: 违法最小权限原则
OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防
weixin_30344795的博客
09-18 2245
先来看几个出现安全问题的例子OWASP TOP10开发为什么要知道OWASP TOP10TOP1-注入TOP1-注入的示例TOP1-注入的防范TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)TOP2-失效的身份认证和会话管理TOP2-举例TOP3-跨站TOP3-防范TOP3-复杂的 HTML 代码提交,如何处理?TOP4-不安全的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值