文章目录
- Web应用渗透技术
-
- 特点
- OWASP Web 潘洞TOP10
-
- 2021 TOP10
-
- A01访问控制失效 (Broken Access Control)
- A02加密失败(Cryptographic Failure)
- AO3注入 (Injection)
- A04不安全设计 (Insecure Design)
- A05安全配置错误(Security Misconfiguration)
- A06易受攻击和过时的组件 (Vulnerable and Outdated Component)
- A07识别与认证失败 (Identification andAuthentication Failure)
- A08软件和数据完整性故障 (Software andData Integrity Failure)
- A09安全日志与监测失败 (Security Loggingand Monitoring Failure)
- A10服务器端请求伪造(Server-Side RequestForgery)
- CWE Web 漏洞2023 年TOP 25
- 攻击类型
Web应用渗透技术
特点
广泛性:web 应用几乎无处不在
技术门槛低: Web 技术简单易懂,进入的技术门槛低
防火墙可绕过性:几乎所有防火墙策略都会放行入方向的HTTP/HTTPS流量
安全机制不够成熟:HTTP 的认证和授权技术相对滞后
隐蔽性:攻击追溯和取证工作比较困难
变化性:Web 应用的调整对于一个业务经常变化的公司很常见
利益性: 通过Web 攻击犯罪利润丰厚
OWASP Web 潘洞TOP10
最著名的被广泛采纳的 Web 安全态势年度报告
2021 TOP10
A01访问控制失效 (Broken Access Control)
访问控制是指对经过身份验证的用户执行超出其权限级别的操作的限制。当此类限制未正确配置时,就会出现访问控制中断。这可能导致对敏感信息未授权访问以及修改或破坏
A02加密失败(Cryptographic Failure)
这种类型的故障适用于传输和静止数据的保护和保密。此类数据通常包括身份验证信息,例如用户名和密码,还包括个人身份信息,例如个人和财务信息、健康记录、商业机密等。出现漏洞的原因有多种,漏洞通常是通过中间人攻击来利用的
AO3注入 (Injection)
最常见的注入攻击是SQL注入和跨站点脚本(xSs)攻击,
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
