精华内容
下载资源
问答
  • OWASP

    2016-06-17 15:38:36
    1.终端输入owasp-zap来启动工具
    1.终端输入owasp-zap来启动工具
    展开全文
  • owasp

    2011-09-23 10:42:31
    https://www.owasp.org/index.php/Searching_for_Code_in_J2EE/Java
    https://www.owasp.org/index.php/Searching_for_Code_in_J2EE/Java
    
    展开全文
  • OWASP Top 10 简单介绍

    万次阅读 多人点赞 2019-04-29 21:47:23
    最近在找实习,看到招聘全是要求熟悉OWASP Top 10,为了加深印象所以写一个博客记录一下 ,也希望可以为有相同需求的小伙伴提供好的资料,之后我会陆续更新相关的漏洞复现的博客,希望大家可以给我提出更好的建议。...

    前言

    最近在找实习,看到招聘全是要求熟悉OWASP Top 10,为了加深印象所以写一个博客记录一下 ,也希望可以为有相同需求的小伙伴提供好的资料,之后我会陆续更新相关的漏洞复现的博客,希望大家可以给我提出更好的建议。

    版本:OWASP Top 10 2017

    什么是OWASP Top 10

    OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。

    A1 注入injection

    将不安全的命令作为命令发送给解析器,会产生类似于SQL注入、NoSQL注入、OS注入和LDAP注入(轻量目录访问协议) 的缺陷,攻击者可以构造恶意数据通过注入缺陷的解析器执行没有权限的非预期命令访问数据

    A2 失效的身份认证

    通过错误使用应用程序的身份认证会话管理功能,攻击者能够破译密码密钥会话令牌,或者暂时永久的冒充其他用户的身份。

    A3 敏感数据泄露

    这个比较好理解,一般我们的敏感信息包括密码财务数据医疗数据等,由于web应用或者API未加密不正确的保护敏感数据,这些数据极易遭到攻击者利用,攻击者可能使用这些数据来进行一些犯罪行为,因此,未加密的信息极易遭到破坏和利用,我们应该加强对敏感数据的保护,web应用应该在传输过程中数据、存储的数据以及和浏览器的交互时的数据进行加密,保证数据安全。

    A4外部实体(XXE)

    XXE 全称为XML External Entity attack 即XML(可扩展标记语言) 外部实体注入攻击,早期或配置错误的XML处理器评估了XML文件外部实体引用,攻击者可以利用这个漏洞窃取URI(统一资源标识符)文件处理器的内部文件共享文件监听内部扫描端口执行远程代码和实施拒绝服务攻击

    A5失效的访问控制

    通过身份验证的用户,可以访问其他用户的相关信息,没有实施恰当的访问权限。攻击者可以利用这个漏洞去查看未授权的功能和数据,eg:访问用户的账户敏感文件获取和正常用户相同的权限等.

    A6 安全配置错误

    安全配置错误是比较常见的漏洞,由于操作者的不当配置(默认配置,临时配置,开源云存储,http标头配置,以及包含敏感信息的详细错误),导致攻击者可以利用这些配置获取到更高的权限,安全配置错误可以发生在各个层面,包含平台、web服务器、应用服务器、数据库、架构和代码。

    A7 跨站脚本(xss)

    xss攻击全称为跨站脚本攻击,当应用程序的新网页中包含不受信任的未经恰当验证转义的数据或可以使用HTML、JavaScript的浏览器API更新的现有网页时,就会出现xss漏洞,跨站脚本攻击是最普遍的web应用安全漏洞,甚至在某些安全平台都存在xss漏洞。xss会执行攻击者在浏览器中执行的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用xss还可以执行拒绝服务攻击。

    A8不安全的反序列化

    不安全的反序列化可以导致远程代码执行重放攻击、注入攻击或特权升级攻击

    A9使用含有已知漏洞的组件

    组件(eg:库、框架或其他软件模块)拥有应用程序相同的权限,如果应用程序中含有已知漏洞,攻击者可以利用漏洞获取数据或接管服务器。同时,使用这些组件会破坏应用程序防御,造成各种攻击产生严重的后果。

    A10 不足的日志记录和监控

    这个和等保有一定的关系,不作介绍,不足的日志记录监控,以及事件响应缺失无效的集成,使攻击者能够进一步攻击系统、保持持续性的或攻击更多的系统,以及对数据的不当操作。


    结语

    大概了解了top 10的相关漏洞,对于漏洞有了一个大概的认识,接下来就是去多实际操作,去熟悉漏洞的相关特性,有助于您更好的了解这些漏洞。

    参考文章

    OWASP Top 10 2017
    三分钟了解OWASP TOP 10 2017 RC2
    浅谈OWASP TOP 10

    持续更新Android安全、web安全等原创文章,需要学习资料,技术交流可以关注我一起学习
    请添加图片描述

    展开全文
  • owasp top10 脑图

    万次阅读 2021-06-03 23:54:30
    owasp top 10 脑图

    owasp top 10 脑图
    在这里插入图片描述

    展开全文
  • OWASP&OWASP中国.pdf

    2021-08-08 13:52:03
    O!WASP OWASP全球企业会员 OWASP全球学术会员 OWASP权威性 OWASP中国 OWASP中国区域分部 OWASP中国支持单位 Not only Top10!
  • 开放式Web应用程序安全项目(OWASP)哈利法克斯分会( )是OWASP全球慈善组织( )的一章,致力于改善软件的安全性。 我们的使命是使软件安全可见,以便个人和组织能够做出明智的决定。 OWASP Halifax处于独特的...
  • OWASP ASVS OWASP ASVS项目主旨 OWASP ASVS发展历程 OWASP ASVS贡献人 OWASP ASVS适用人群 我是怎么开始接触OWASP ASVS OWASP ASVS vs OWASP TOP 10 应用安全验证级别 OWASP ASVS验证规则 V1:架构、设计和威胁建模 ...
  • 请在下面的官方OWASP CSRFGuard存储库中打开所有请求和问题: 我们需要您的帮助。 如果您想花几个小时来帮助我们,请与我联系。 OWASP CSRFGuard 3.1.0 BSD许可证,保留所有权利。 概述 欢迎来到OWASP CSRFGuard...
  • [应急响应]OWASP&OWASP中国 安全意识教育 业务风控 业务安全 业务安全 安全管理
  • OWASP top10.zip

    2021-04-24 10:11:45
    OWASP最新版本
  • OWASP-源码

    2021-03-14 12:17:27
    OWASP十大注意事项
  • OWASP top10 详解

    万次阅读 多人点赞 2019-11-24 11:09:56
    目录什么是owasp top10?排行榜(1)SQL 注入(2)失效的身份认证和会话管理(3)跨站脚本攻击 XSS(4)直接引用不安全的对象(5)安全配置错误(6)敏感信息泄露(7)缺少功能级的访问控制(8)跨站请求伪造 CSRF(9)使用含有已知...
  • OWASP 学习网关项目
  • owasp_OWASP数据工程师

    2020-07-31 06:24:17
    owaspWait.. what? Isn’t OWASP something to do with web ... That was my first reaction too when, some years ago, I was asked to do an “OWASP top 10 analysis” on a project that had nothing at ...
  • OWASP 项目指标 OWASP Project Metrics 的目标是创建一个自动化工具,能够连接到大多数分布式版本控制系统 (DVCS) 并生成数据以使用指标和标准实践来衡量项目活动和质量。 链接
  • gem 'owasp_zap' 然后执行: $ bundle 或将其自己安装为: $ gem install owasp_zap 用法 require 'owasp_zap' include OwaspZap z = Zap.new :target=>'...
  • OWASP_扫描仪 一款扫描网站OWASP漏洞的软件
  • OWASP TOP 10

    2018-07-08 16:36:14
    OWASP TOP 10 2017 是一个非常不错的安全方面的信息文档
  • 此 Live CD 包含 Owasp Zap 漏洞测试解决方案,OWASP Zed Attack Proxy (ZAP) 是世界上最受欢迎的免费安全工具,由数百名国际志愿者积极维护*。 它可以帮助您在开发和测试应用程序时自动查找 Web 应用程序中的安全...
  • owasp.github.io OWASP Foundation主站点存储库 该网站是根据。
  • OWASP TOP10

    2021-07-30 17:27:20
    信息安全——owasp top101、介绍OWASP TOP102、OWASP TOP10 2013、2017最严重的十大风险3、简要介绍(1)、注入漏洞攻击方式漏洞原因漏洞影响SQL 注入SQL 注入工具SQL 注入防护(2)、失效的身份认证攻击方式漏洞...
  • OWASP Top10 2020

    万次阅读 多人点赞 2020-10-25 03:22:24
    OWASP Top 10 2020什么是OWASP漏洞简介1. Top1-注入2.失效身份验证和会话管理3.敏感信息泄露4.XML外部实体注入攻击(XXE)5.失效访问控制6.安全性错误配置7.Cross-Site-Scripting(XSS)8.不安全的反序列化9.使用具有...
  • owasp十大安全漏洞_OWASP十大漏洞

    千次阅读 2020-07-04 21:36:25
    OWASP 免费试用AppScan Standard IBM Security AppScan Standard可帮助您检测和纠正OWASP前10名列表中发现的许多类型的安全问题。 您可以下载AppScan Standard的试用版并自己进行测试。 开放式Web应用程序...
  • Joizel OWASP检查清单 阅读文档 的github
  • OWASP Zap扫描 网址 严重程度 姓名 网址 严重程度 姓名 网址 严重程度 姓名 网址 严重程度 姓名 网址 严重程度 姓名 网址 严重程度 姓名 网址 严重程度 姓名 网址 严重程度 姓名 网址 严重程度 姓名 ...
  • owasp2.9下载 download

    2020-07-08 10:34:49
    owasp2.9下载 download,漏洞扫描工具,网站维护工具必选。开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的...
  • owasp安全测试指南

    2019-03-06 17:52:41
    owasp安全测试指南中文版
  • OWASP ZAP.zip

    2019-08-15 18:20:59
    OWASP ZAP,web安全扫描器,

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 12,179
精华内容 4,871
关键字:

owasp