- 综合排序
- 最热优先
- 最新优先
- 来自专栏今天有没有多懂一点工业安全
OWASP TOP 10 合集
-10:安全日志记录和监控失效 参考: https://owasp.org/www-project-top-10-low-code-no-code-security-risks/ 四、OWASP容器安全十大风险 OWASP容器安全十大风险(OWASP Docker Top 10 )项目主要希望为开发人员、审计人员、安全人员以及云运营商等相关机构提供了用来规划和实施基于Docker的安全容器环境。 这10点按相关性排序,它们不是将风险表示为 OWASP Top 10 中的每个单点,而是表示安全控制。控制范围从基线安全到更高级的控制,具体取决于实际的安全要求。 日志 Logging 参考: https://owasp.org/www-project-docker-top-10/ 五、OWASP十大隐私风险 OWASP十大隐私风险项目(OWASP Top10 API TOP 10 OWASP API 安全项目旨在解决越来越多的组织将潜在敏感 API 作为其软件产品的一部分进行部署的问题,这些 API 通常用于内部任务和与第三方的接口。
1.2K50编辑于 2023-09-01 - 来自专栏网络安全攻防
2021 OWASP TOP 10
文章前言 2021年版OWASP Top 10的编制比以往更受数据驱动,但又并非盲目地受数据驱动,我们从公开收集的数据中选定了8个类别,之后又从Top 10社区调查结果中选择了2个高级别的类别,组成了 ASVS和OWASP Top 10中已禁止的"问题和答案"功能,"问题和答案"不能作为可信的证据来证明身份,因为不止一个人知道答案,这就是为什么它们被禁止的原因,应删除此类代码,并用更安全的设计替换 "知识相关问答" 使用明码、被加密的或使用较脆弱杂凑法的密码(参考A3: 2017-敏感性资料泄漏),(TODO)https://github.com/OWASP/Top10/issues/553 不具有或是无效的多因素认证 Security Logging and Monitoring Failures 风险因素 风险概述 安全日志和监控故障来自于Top 10的社区调查(排名第3位),比2017年OWASP Top ),以及CWE-532 Insertion of Sensitive Information into Log File(在日志文件中包含敏感信息) 风险说明 2021年版OWASP Top 10中,该类别是为了帮助检测
2.4K30编辑于 2022-12-22 - 来自专栏yuancao博客
OWASP Top 10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目) TOP 10 OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 6.安全性错误配置 产生情况 安全配置错误是比较常见的漏洞,由于操作者的不当配置(默认配置,临时配置,开源云存储,http标头配置,以及包含敏感信息的详细错误),安全配置错误可以发生在各个层面,包含平台 产生情况 反射型XSS:应用程序或API包含未经验证和未转义的用户输入,作为HTML输出的一部分。成功的攻击可以使攻击者在受害者的浏览器中执行任意HTML和JavaScript。 存储型XSS:应用程序或API存储未过滤的用户输入,稍后由其他用户或管理员查看。存储的XSS通常被认为是高风险或严重风险。
2.8K94发布于 2020-10-26 - 来自专栏开源优测
OWASP物联网安全2018 TOP 10
下面我们看下2018年OWASP Top物联网安全项。 1. 不安全的生态系统接口 在生态系统外部设备使用了不安全的web、后端API、云或移动接口,并允许妥协的设备或相关的组件应用,常见的问题包含缺少身份验证/授权,缺少或弱封装以及缺少输入和输出的过滤 不安全的默认配置 出厂时的设备默认配置不安全,或是无法通过限制操作员修改配置来提升设备的安全性 10. 这一点在2018年发布的OWASP物联网前10名中继续存在,这代表了构建、部署或管理物联网系统时应避免的十大问题。2018年OWASP物联网十大主题是简单。 OWASP物联网TOP 10未来规划 该团队计划开展多项活动,以继续改进项目。
1.3K30发布于 2019-05-30 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入OWASP TOP10-腾讯云开发者社区-腾讯云3,跨站请求OWASP TOP10-腾讯云开发者社区-腾讯云 4,验证码绕过OWASP TOP10-腾讯云开发者社区-腾讯云5,文件包含OWASP TOP10-腾讯云开发者社区-腾讯云6,sql注入OWASP TOP10-腾讯云开发者社区-腾讯云7,文件上传漏洞简单难度下没防护
27210编辑于 2025-04-18 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 OWASP TOP10-腾讯云开发者社区-腾讯云bWAPP的用户名:bee,密码:bug,登录后即可进行相应测试。现在做bWAPP也是和DVWA差不多。也可以设置难度简单中等困难。
28610编辑于 2025-04-20 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表
51310编辑于 2025-04-11 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入简单情况下,直接|或者&就可以绕过了。看一下源码长什么样子。因为是简单难度,所以呢,逻辑也很清晰。
37410编辑于 2025-04-12 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 OWASP TOP10-腾讯云开发者社区-腾讯云bWAPP的用户名:bee,密码:bug,登录后即可进行相应测试。现在做bWAPP也是和DVWA差不多。也可以设置难度简单中等困难。 1,HTML注入(GET)OWASP TOP10-腾讯云开发者社区-腾讯云2,HTML注入(POST)OWASP TOP10-腾讯云开发者社区-腾讯云3,HTML注入(URL)简单情况下直接进行url编码然后在输出到页面上
34110编辑于 2025-04-22 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入OWASP TOP10-腾讯云开发者社区-腾讯云3,跨站请求OWASP TOP10-腾讯云开发者社区-腾讯云
45910编辑于 2025-04-14 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入OWASP TOP10-腾讯云开发者社区-腾讯云3,跨站请求OWASP TOP10-腾讯云开发者社区-腾讯云 4,验证码绕过OWASP TOP10-腾讯云开发者社区-腾讯云5,文件包含OWASP TOP10-腾讯云开发者社区-腾讯云6,sql注入简单难度下没防护。 这个就比较安全了。
31810编辑于 2025-04-17 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 OWASP TOP10-腾讯云开发者社区-腾讯云bWAPP的用户名:bee,密码:bug,登录后即可进行相应测试。现在做bWAPP也是和DVWA差不多。也可以设置难度简单中等困难。 1,HTML注入(GET)OWASP TOP10-腾讯云开发者社区-腾讯云2,HTML注入(POST)OWASP TOP10-腾讯云开发者社区-腾讯云3,HTML注入(URL Blog)OWASP TOP10
30410编辑于 2025-04-23 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入OWASP TOP10-腾讯云开发者社区-腾讯云3,跨站请求OWASP TOP10-腾讯云开发者社区-腾讯云 4,验证码绕过OWASP TOP10-腾讯云开发者社区-腾讯云5,文件包含OWASP TOP10-腾讯云开发者社区-腾讯云6,sql注入OWASP TOP10-腾讯云开发者社区-腾讯云7,xss注入简单情况下没什么好说的
45310编辑于 2025-04-19 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入OWASP TOP10-腾讯云开发者社区-腾讯云3,跨站请求看一下简单难度的CSRF这个用户给俩密码,判断一下
58310编辑于 2025-04-13 - 来自专栏黑伞安全
解读OWASP TOP 10
如果无法实现这些控制,请考虑使用虚拟修复程序、API安全网关或Web应用程序防火墙( WAF )来检测、监控和防止XXE攻击 ## TOP5 失效的访问控制 **描述** 由于缺乏自动化的检测和应用程序开发人员缺乏有效的功能测试 向客户端发送安全指令,如:安全标头。 6. 在所有环境中能够进行正确安全配置和设置的自动化过程。 ## TOP7 跨站脚本(XSS) **三种类型:** 1. 如果这种情况不能避免,可以采用《OWASP Cheat Sheet ‘DOM based XSS Prevention ‘》描述的类似上下文敏感的转义技术应用于浏览器API。 4. 如果不存在可以通过本地文件放置恶意代码的其他漏洞(例如:路径遍历覆盖和允许在网络中传输的易受攻击的库),则该策略是有效的 ## TOP8 不安全的反序列化 **描述** 这一问题包括在Top 10的行业调查中 每个组织都应该制定相应的计划,对整个软件生命周期进行监控、评审、升级或更改配置 ## TOP10 不足的日志记录和监控 **描述** 判断你是否有足够监控的一个策略是在渗透测试后检查日志。
3.5K20发布于 2019-10-16 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 OWASP TOP10-腾讯云开发者社区-腾讯云bWAPP的用户名:bee,密码:bug,登录后即可进行相应测试。现在做bWAPP也是和DVWA差不多。也可以设置难度简单中等困难。 1,HTML注入(GET)OWASP TOP10-腾讯云开发者社区-腾讯云2,HTML注入(POST)简单情况下和GET一模一样,没有任何检测。中等难度下也是和GET一模一样,就做了url编码而已。
33210编辑于 2025-04-21 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入OWASP TOP10-腾讯云开发者社区-腾讯云3,跨站请求OWASP TOP10-腾讯云开发者社区-腾讯云 4,验证码绕过OWASP TOP10-腾讯云开发者社区-腾讯云5,文件包含简单难度下没什么好说的。
30110编辑于 2025-04-15 - 来自专栏网络安全攻防
OWASP低代码Top 10
OWASP Top 10 Low-Code/No-Code Security Risks(简称OWASP低代码十大安全风险)项目的主要目标是为希望采用和开发低代码(可视化少量代码开发)、无代码(可视化无需编程开发 ,但在许多情况下业务用户违反最佳实践和企业数据安全政策建立连接,这通常会导致安全风险 攻击场景 创客创建了一个使用FTP连接的应用程序并且没有勾选"加密"的复选框,由于应用程序与其用户之间的通信是加密的 攻击场景 整个组织的创客都使用来自公开的脆弱的组件,每个使用该组件的应用程序都暴露在攻击下,管理员可能会发现很难找到受脆弱组件影响的应用程序 开发人员创建一个自定义连接器,允许创客连接到内部业务API ,要求用户填写包含敏感数据的表单,应用程序使用平台提供的托管数据 库来存储结果,然而由于所有其他创客默认使用托管数据库进行存储,因此其他创客都可以访问到这些敏感数据 创客在创建的应用程序中使用了自定义API ,并在代码中硬编码了访问该API的密钥,于是其他创客也就可以直接访问到这些API密钥,此外这些API密钥可能会泄漏到应用程序的客户端代码中,从而使用户也可以直接访问到这些密钥 预防措施 资产管理失效
1.5K20编辑于 2022-12-22 - 来自专栏全栈程序员必看
Owasp top10 小结
Owasp top10 1.SQL注入 原理:web应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过恶意的sql语句来实现对数据库的任意操作 4.直接引用不安全的对象(IDOR) 定义:不安全的直接对象引用(IDOR)允许攻击者绕过网站的身份验证机制,并通过修改指向对象链接中的参数值来直接访问目标对象资源,这类资源可以是属于其他用户的数据库条目或者服务器系统的隐私文件等 5.安全配置错误: 定义:安全配置错误可以发生在一个应用程序堆栈的任何层面,包括网络服务,平台,web服务器,应用服务器,数据库,框架,自定义的代码等等。 POST型: 如果一个网站开发者的安全意识不够,使得攻击者获取到用户提交表单处理的地址,即可通过伪造post表单恶意提交(例如购买物品)造成损失。 10.未验证的重定向和转发: 成因:在web应用中,没有对带有用户输入参数的目的url做验证。而这个时候攻击者就可以引导用户访问他们所要用户访问的站点(钓鱼网站)。
1.5K30编辑于 2022-09-02 - 来自专栏Khan安全团队
OWASP News Top 10 2021
OWASP Top 10 项目始于 2003 年,是 Web 应用程序十大最关键安全风险类别的列表。需要注意的是,这份名单是经过协商一致制定的。 最初,该文档旨在提高开发人员和管理人员的意识,目前已成为应用程序安全的事实标准。 此外,在 Top 10 页面上,我们可以找到突出显示的短语: 被全球开发人员认可为迈向更安全编码的第一步。 2021 年启动活动和会议 2021 年版本的 OWASP Top 10 于 2021 年 9 月 24 日星期五推出,伴随着一系列总持续时间约为 24 小时的免费会议,从同一个星期五到下一个星期六举行 ,它们是: A04:不安全的设计 A08:软件和数据完整性故障 A10:服务器端请求伪造(SSRF) 请注意,在此版本中,在为类别分配名称时,已考虑根本原因而不是后果。 image.png 接下来,我们将讨论 OWASP Top 10 2021 的三个新类别,因为它们是最近创建的,它们不像以前已经存在的类别那样广为人知或无法获得相同数量的信息。
1.2K10编辑于 2022-01-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号