- 综合排序
- 最热优先
- 最新优先
- 来自专栏今天有没有多懂一点工业安全
OWASP TOP 10 合集
CICD-SEC-8第三方服务的不受控使用 CICD-SEC-9不正确的工件完整性验证 CICD-SEC-10日志记录和可见性不足 参考: owasp.org/www-project-top 这10点按相关性排序,它们不是将风险表示为 OWASP Top 10 中的每个单点,而是表示安全控制。控制范围从基线安全到更高级的控制,具体取决于实际的安全要求。 日志 Logging 参考: https://owasp.org/www-project-docker-top-10/ 五、OWASP十大隐私风险 OWASP十大隐私风险项目(OWASP Top10 API TOP 10 OWASP API 安全项目旨在解决越来越多的组织将潜在敏感 API 作为其软件产品的一部分进行部署的问题,这些 API 通常用于内部任务和与第三方的接口。 API 8:安全配置错误 API 和支持它们的系统通常包含复杂的配置,旨在使 API 更具可定制性。
1.3K50编辑于 2023-09-01 - 来自专栏网络安全攻防
2021 OWASP TOP 10
文章前言 2021年版OWASP Top 10的编制比以往更受数据驱动,但又并非盲目地受数据驱动,我们从公开收集的数据中选定了8个类别,之后又从Top 10社区调查结果中选择了2个高级别的类别,组成了 ASVS和OWASP Top 10中已禁止的"问题和答案"功能,"问题和答案"不能作为可信的证据来证明身份,因为不止一个人知道答案,这就是为什么它们被禁止的原因,应删除此类代码,并用更安全的设计替换 "知识相关问答" 使用明码、被加密的或使用较脆弱杂凑法的密码(参考A3: 2017-敏感性资料泄漏),(TODO)https://github.com/OWASP/Top10/issues/553 不具有或是无效的多因素认证 Security Logging and Monitoring Failures 风险因素 风险概述 安全日志和监控故障来自于Top 10的社区调查(排名第3位),比2017年OWASP Top ),以及CWE-532 Insertion of Sensitive Information into Log File(在日志文件中包含敏感信息) 风险说明 2021年版OWASP Top 10中,该类别是为了帮助检测
2.4K30编辑于 2022-12-22 - 来自专栏yuancao博客
OWASP Top 10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目) TOP 10 OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 6.安全性错误配置 产生情况 安全配置错误是比较常见的漏洞,由于操作者的不当配置(默认配置,临时配置,开源云存储,http标头配置,以及包含敏感信息的详细错误),安全配置错误可以发生在各个层面,包含平台 存储型XSS:应用程序或API存储未过滤的用户输入,稍后由其他用户或管理员查看。存储的XSS通常被认为是高风险或严重风险。 8.不安全的反序列化 说明 序列化的过程是将对象转换为字节字符串。反序列化的过程是将字节字符串转换为对象。
2.8K94发布于 2020-10-26 - 来自专栏开源优测
OWASP物联网安全2018 TOP 10
下面我们看下2018年OWASP Top物联网安全项。 1. 不安全的生态系统接口 在生态系统外部设备使用了不安全的web、后端API、云或移动接口,并允许妥协的设备或相关的组件应用,常见的问题包含缺少身份验证/授权,缺少或弱封装以及缺少输入和输出的过滤 不安全的数据传输和存储 缺少对物联网生态系统中的任何敏感的数据的加密或访问控制机制,包括静态存储、传输或处理过程中的数据 8. 这一点在2018年发布的OWASP物联网前10名中继续存在,这代表了构建、部署或管理物联网系统时应避免的十大问题。2018年OWASP物联网十大主题是简单。 OWASP物联网TOP 10未来规划 该团队计划开展多项活动,以继续改进项目。
1.3K30发布于 2019-05-30 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 OWASP TOP10-腾讯云开发者社区-腾讯云bWAPP的用户名:bee,密码:bug,登录后即可进行相应测试。现在做bWAPP也是和DVWA差不多。也可以设置难度简单中等困难。
30110编辑于 2025-04-20 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入OWASP TOP10-腾讯云开发者社区-腾讯云3,跨站请求OWASP TOP10-腾讯云开发者社区-腾讯云 4,验证码绕过OWASP TOP10-腾讯云开发者社区-腾讯云5,文件包含OWASP TOP10-腾讯云开发者社区-腾讯云6,sql注入OWASP TOP10-腾讯云开发者社区-腾讯云7,文件上传漏洞简单难度下没防护
30310编辑于 2025-04-18 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表
56210编辑于 2025-04-11 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入简单情况下,直接|或者&就可以绕过了。看一下源码长什么样子。因为是简单难度,所以呢,逻辑也很清晰。
45010编辑于 2025-04-12 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 OWASP TOP10-腾讯云开发者社区-腾讯云bWAPP的用户名:bee,密码:bug,登录后即可进行相应测试。现在做bWAPP也是和DVWA差不多。也可以设置难度简单中等困难。 1,HTML注入(GET)OWASP TOP10-腾讯云开发者社区-腾讯云2,HTML注入(POST)OWASP TOP10-腾讯云开发者社区-腾讯云3,HTML注入(URL Blog)OWASP TOP10
32710编辑于 2025-04-23 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 OWASP TOP10-腾讯云开发者社区-腾讯云bWAPP的用户名:bee,密码:bug,登录后即可进行相应测试。现在做bWAPP也是和DVWA差不多。也可以设置难度简单中等困难。 1,HTML注入(GET)OWASP TOP10-腾讯云开发者社区-腾讯云2,HTML注入(POST)OWASP TOP10-腾讯云开发者社区-腾讯云3,HTML注入(URL)简单情况下直接进行url编码然后在输出到页面上
35810编辑于 2025-04-22 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入OWASP TOP10-腾讯云开发者社区-腾讯云3,跨站请求OWASP TOP10-腾讯云开发者社区-腾讯云 4,验证码绕过OWASP TOP10-腾讯云开发者社区-腾讯云5,文件包含OWASP TOP10-腾讯云开发者社区-腾讯云6,sql注入简单难度下没防护。 这个就比较安全了。
33210编辑于 2025-04-17 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入OWASP TOP10-腾讯云开发者社区-腾讯云3,跨站请求OWASP TOP10-腾讯云开发者社区-腾讯云
48810编辑于 2025-04-14 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入OWASP TOP10-腾讯云开发者社区-腾讯云3,跨站请求OWASP TOP10-腾讯云开发者社区-腾讯云 4,验证码绕过OWASP TOP10-腾讯云开发者社区-腾讯云5,文件包含OWASP TOP10-腾讯云开发者社区-腾讯云6,sql注入OWASP TOP10-腾讯云开发者社区-腾讯云7,xss注入简单情况下没什么好说的
49110编辑于 2025-04-19 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入OWASP TOP10-腾讯云开发者社区-腾讯云3,跨站请求看一下简单难度的CSRF这个用户给俩密码,判断一下 password_new=12345678&password_conf=12345678&Change=%E6%94%B9%E5%8F%98#那我们只用修改password_new和password_conf
71610编辑于 2025-04-13 - 来自专栏黑伞安全
解读OWASP TOP 10
对API和控制器的访问进行速率限制,以最大限度地降低自动化攻击工具的危害。 8. 服务器不发送安全标头或指令,或者未对服务器进行安全配置。 8. 应用软件已过期或易受攻击(参见A9:2017-使用含有已知漏洞的组件)。 9. 如果不存在可以通过本地文件放置恶意代码的其他漏洞(例如:路径遍历覆盖和允许在网络中传输的易受攻击的库),则该策略是有效的 ## TOP8 不安全的反序列化 **描述** 这一问题包括在Top 10的行业调查中 每个组织都应该制定相应的计划,对整个软件生命周期进行监控、评审、升级或更改配置 ## TOP10 不足的日志记录和监控 **描述** 判断你是否有足够监控的一个策略是在渗透测试后检查日志。 渗透测试和使用DAST工具(如:OWASP ZAP)扫描没有触发告警 7. 对于实时或准实时的攻击,应用程序无法检测、处理和告警。 8.
3.5K20发布于 2019-10-16 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 OWASP TOP10-腾讯云开发者社区-腾讯云bWAPP的用户名:bee,密码:bug,登录后即可进行相应测试。现在做bWAPP也是和DVWA差不多。也可以设置难度简单中等困难。 1,HTML注入(GET)OWASP TOP10-腾讯云开发者社区-腾讯云2,HTML注入(POST)简单情况下和GET一模一样,没有任何检测。中等难度下也是和GET一模一样,就做了url编码而已。
34710编辑于 2025-04-21 - 来自专栏渗透TOP10
OWASP TOP10
什么是OWASP? 它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)TOP 10OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 白盒测试,对于新手很友好1,暴力破解 OWASP TOP10-腾讯云开发者社区-腾讯云2,命令注入OWASP TOP10-腾讯云开发者社区-腾讯云3,跨站请求OWASP TOP10-腾讯云开发者社区-腾讯云 4,验证码绕过OWASP TOP10-腾讯云开发者社区-腾讯云5,文件包含简单难度下没什么好说的。
31110编辑于 2025-04-15 - 来自专栏网络安全攻防
OWASP低代码Top 10
OWASP Top 10 Low-Code/No-Code Security Risks(简称OWASP低代码十大安全风险)项目的主要目标是为希望采用和开发低代码(可视化少量代码开发)、无代码(可视化无需编程开发 ,但在许多情况下业务用户违反最佳实践和企业数据安全政策建立连接,这通常会导致安全风险 攻击场景 创客创建了一个使用FTP连接的应用程序并且没有勾选"加密"的复选框,由于应用程序与其用户之间的通信是加密的 攻击场景 整个组织的创客都使用来自公开的脆弱的组件,每个使用该组件的应用程序都暴露在攻击下,管理员可能会发现很难找到受脆弱组件影响的应用程序 开发人员创建一个自定义连接器,允许创客连接到内部业务API ,要求用户填写包含敏感数据的表单,应用程序使用平台提供的托管数据 库来存储结果,然而由于所有其他创客默认使用托管数据库进行存储,因此其他创客都可以访问到这些敏感数据 创客在创建的应用程序中使用了自定义API ,并在代码中硬编码了访问该API的密钥,于是其他创客也就可以直接访问到这些API密钥,此外这些API密钥可能会泄漏到应用程序的客户端代码中,从而使用户也可以直接访问到这些密钥 预防措施 资产管理失效
1.5K20编辑于 2022-12-22 - 来自专栏全栈程序员必看
Owasp top10 小结
Owasp top10 1.SQL注入 原理:web应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过恶意的sql语句来实现对数据库的任意操作 4.直接引用不安全的对象(IDOR) 定义:不安全的直接对象引用(IDOR)允许攻击者绕过网站的身份验证机制,并通过修改指向对象链接中的参数值来直接访问目标对象资源,这类资源可以是属于其他用户的数据库条目或者服务器系统的隐私文件等 5.安全配置错误: 定义:安全配置错误可以发生在一个应用程序堆栈的任何层面,包括网络服务,平台,web服务器,应用服务器,数据库,框架,自定义的代码等等。 8.跨站请求伪造: 原理:1. 用户输入账户信息请求登录A网站。2. A网站验证用户信息,通过验证后返回给用户一个cookie。 3. 在未退出网站A之前,在同一浏览器中请求了黑客构造的恶意网站B。 10.未验证的重定向和转发: 成因:在web应用中,没有对带有用户输入参数的目的url做验证。而这个时候攻击者就可以引导用户访问他们所要用户访问的站点(钓鱼网站)。
1.5K30编辑于 2022-09-02 - 来自专栏Khan安全团队
OWASP News Top 10 2021
OWASP Top 10 项目始于 2003 年,是 Web 应用程序十大最关键安全风险类别的列表。需要注意的是,这份名单是经过协商一致制定的。 最初,该文档旨在提高开发人员和管理人员的意识,目前已成为应用程序安全的事实标准。 此外,在 Top 10 页面上,我们可以找到突出显示的短语: 被全球开发人员认可为迈向更安全编码的第一步。 2021 年启动活动和会议 2021 年版本的 OWASP Top 10 于 2021 年 9 月 24 日星期五推出,伴随着一系列总持续时间约为 24 小时的免费会议,从同一个星期五到下一个星期六举行 ,它们是: A04:不安全的设计 A08:软件和数据完整性故障 A10:服务器端请求伪造(SSRF) 请注意,在此版本中,在为类别分配名称时,已考虑根本原因而不是后果。 image.png 接下来,我们将讨论 OWASP Top 10 2021 的三个新类别,因为它们是最近创建的,它们不像以前已经存在的类别那样广为人知或无法获得相同数量的信息。
1.2K10编辑于 2022-01-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号