OWASP A4 Insecure Design(不安全的设计)

最新推荐文章于 2024-10-10 22:57:50 发布
最新推荐文章于 2024-10-10 22:57:50 发布
阅读量637 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: OWASP 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/I_like_ctrl/article/details/127228397

Insecure Design(不安全的设计)

这个是 OWASP 在今年新出的类别.

根据 OWASP 的说法,这一类着重于在设计与架构中的风险.来呼吁更多使用到威胁建模,安全设计模式与参考架构.

也就是说在程序设计的时候,避免无效的程序设置,暴露敏感数据.

其中著名的 CWE 中有

  1. CWE-209:产生的错误信息中包含敏感信息
  2. CWE-256:受保护的凭证不足
  3. CWE-502:信任边界冲突
  4. CWE-522:凭据保护不足

更多的 CWE 例子可以点击这里

我个人更倾向于是应用设计时的逻辑漏洞

以 CWE-209 为例

比方说 SQL 注入的错误回显

也就是说, SQL 查询报错的语句,返回显示界面

至于错误回显是怎么造成的,可以看我的博客文章里

SQL 注入之错误回显

再换个思路想

在一个登录界面,你尝试乱输入一个账号和密码

这个应用它只会返回

账户不存在

密码不正确

这就很可怕了

只要它没有爬虫限制

那么我就可以尝试爬下该应用整个所有账号

所以,现在绝大部分应用的登录,业务处理等会采取准确且模糊的说服(?

再说说 CWE-256

我们可以

最低0.47元/天 解锁文章

200万优质内容无限畅学
常见的软件缺陷与风险
oscar999的专栏
10-06 1028
MITRE 和 OWASP 每年都会发布软件的常见和危险的弱点,软件弱点包括在软件解决方案的代码、体系结构、实现或设计中发现的缺陷、bug、漏洞或各种其他错误。 提醒开发者在软件开发的时候予以注意和防护。
Java实战:OWASP-Insecure Design安全设计)高级实战指南(四)
最新发布
啊不行了,要长脑子了
04-19 3008
设计上的安全”指在系统构建初期就缺乏对安全边界、权限模型、异常流程、敏感路径的系统性考量。即便代码实现无误,也会因为设计结构本身存在缺陷而导致漏洞。“安全的代码,可能是失误。安全设计,是失败的架构。安全左移是一句口号,而是一种责任的提前兑现。如果你希望系统上线后没有“补丁”式加固,那就从设计阶段开始加固它。
OWASP应用安全设计指导.pdf
02-20
OWASP 应用程序安全设计项目重点是突出一些重要的安全设计原则与步骤,开发人员和架构师必 须遵循它们来进行安全的应用程序设计。通过设计审核,我们可以发现其中的风 险,然后采取措施在设计中避免这种风险。
2021 OWASP TOP 4安全设计
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
07-12 1722
OWASP TOP 4 业务逻辑漏洞
安全设计
weixin_45130489的博客
11-01 386
OWASP安全设计 漏洞产生的原因: 在开发软件时,在关键身份验证、访问控制、业务逻辑和关键流部位没有进行安全设计。 怎么发掘? 业务逻辑的显性体现: 1.支付逻辑 2.密码找回 3.验证码暴力破解 4.验证码的重复使用 5.验证码客户端回显 6.验证码绕过 7.验证码自动识别 怎么利用? 发现这些漏洞之后,或者是可以获得管理员的账号密码或者是私密用户的账号密码或者是造成对网站的业务上的损害。 1.支付逻辑漏洞: 所有涉及购买、支付等方面的功能处就有可能存在支付漏洞。 三个重要因素:用户、商品、商家
Web安全安全设计类漏洞详解及预防
路多辛的所思所想
02-03 880
安全设计漏洞主要指在系统设计和架构设计中,由于恰当的设计导致的安全风险。需要注意安全设计安全的实现的区别,因为它们有同的原因和预防措施。安全设计即使完美得被实现出来,也依然是有问题的,因为在设计过程中就没有考虑针对特定攻击的安全防范措施。2、导出文件功能,禁止使用先生成公共读的下载链接给到客户端下载的方式,需要使用更安全的方式来实现,例如二进流制形式下载。列出的这五条只是安全设计类漏洞的很小一部分,更多的相关漏洞需要根据漏洞定义去体会和理解。常见的安全设计类漏洞及预防措施。
23种设计模式-安全的单例模式
kangkang_hacker的博客
06-09 235
出自:https://blog.youkuaiyun.com/lw_power/article/details/53261388#饿汉式为什么要有单例的类呢? 有些对象的创建消耗时间和内存是非常大的,恰恰好这些对象在我们的应用中只需要使用 1 个,如果能得到控制,会造成资源的浪费。 说明:就想我们的办公室、家里那些很贵的电器,比如电冰箱、空调、打印机、热水器这一类电器,一般情况下,在一个小范围内我们只用使用...
开源OWASP CRS规则
ducc20180301的博客
11-09 811
一、OWASP介绍 OWASP被视为Web应用安全领域的权威参考,在2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。国际信用卡数据安全技术PCI标准更将其列为必要组件。OWASP组织为英国GovCERTUK提供SQL注入参考和为欧洲网络与信息安全局(ENISA), 云计算风险评估参考。OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要
初识Top4安全设计”以及Top5“安全配置错误”
m0_61294299的博客
10-24 1602
初识Top4安全设计”以及Top5“安全配置错误”。
owasp十大web漏洞_OWASP的十大Web应用程序安全风险
danpu0978的博客
05-13 904
owasp十大web漏洞 开放Web应用程序安全性项目(OWASP)是一个全球性的非营利慈善组织,致力于改善软件的安全性。 其任务是使软件安全可见 ,以便全世界的个人和组织可以就真正的软件安全风险做出明智的决定 。 该组织每隔几年就会发布有关Web应用程序安全风险的前十名列表。 该列表于2003年首次发布,并于2013年6月进行了更新。 这是它们的10个最关键的Web应用程序安全风险的摘要...
OWASP TOP 10的风险分析、预防措施以及攻击范例(下)
Language_Sumuzhe的博客
05-20 962
OWASP TOP 10的风险分析以及预防措施(A04-A10) A04:2021-安全设计 Insecure Design 风险说明: 安全设计是一个广泛的类别,代表同的弱点,表示为“缺少或无效的控制设计”。安全设计是所有其他前10个风险类别的来源。安全设计安全的实现之间存在差异。我们区分设计缺陷和实现缺陷是有原因的,它们有同的根本原因和补救措施。安全设计仍然可能存在实现缺陷,从而导致可能被利用的漏洞。一个安全设计能通过一个完美的实现来修复,因为根据定义,所需的安全控制从未被创建来抵
OWASP-TOP10-2021(1-5)
weixin_50605813的博客
09-03 1051
方案:(1)使用强密码和密钥管理: 确保使用足够强度的密码和密钥,避免使用弱密码,实施有效的密钥管理策略,包括定期旋转和更新密钥,使用硬件安全模块(HSM)来存储和管理密钥,提高安全性;风险:一些常见的例子包括(1)SQL 注入: 当用户控制的输入被传递到 SQL 查询时,就会发生这种情况,攻击者可以通过 SQL 查询来操纵此类查询的结果,当这种输入被传递到数据库查询中时,攻击者就有可能访问、修改和删除数据库中的信息,这意味着攻击者可以窃取敏感信息,如个人信息和凭证等;(2)访问未经授权的功能。
OWASP Top 10】2021版
weixin_49422491的博客
10-07 2478
本质上来说,OWASP Top 10主要是一个意识文件。然而,这并没有阻止组织自其2003年发布以来将其用作实际上的行业AppSec标准。如果您想使用OWASP Top 10作为编码或测试标准,请记住它是底线,是起点!OWASP Top 10榜单的目的是推动安全行业了解数据贡献公司所面临的漏洞和漏洞利用趋势,以更好地迎接和应对挑战。目前,OWASP Top 10仍处于初版阶段,还将随着安全行业断审查其内容而发展完善。
OWASP TOP 10你了解几个?
Bu2n的博客
01-05 3182
OWASP TOP 102021TOP1 Broken Access ControlTOP2 Cryptographic FailuresTOP3 InjectionTOP4 Insecure DesignTOP5 Security MisconfigurationTOP6 Vulnerable and Outdated ComponentsTOP7 Identification and Authentication FailuresTOP8 Software and Data Integrity Fai.
2023 年和 2024 年最具威胁的 25 种安全漏洞(CWE Top 25)
qq_42568323的博客
10-10 1986
了解这些安全漏洞并采取适当的预防措施,可以大幅降低软件开发和应用过程中潜在的安全风险。定期审查代码、实施安全测试和保持更新是保护系统安全的关键步骤。
CWE-通用弱点枚举简介
plstudio1的博客
03-19 4188
对于软件来说,安全是航空、航天、军工、电力、金融等关键行业极为重视的特性之一。因此,保证软件尽量安全是软件研发人员的重要责任。可以说,软件安全漏洞是软件研发者的一大死敌。古语有云:知彼知己,百战殆。要想取得战争的胜利,就要尽可能充分认识软件安全漏洞。CWE就是认识它们的一个窗口。从今天开始,我通过把CWE中的内容逐步翻译出来,同大家一起认识和了解软件漏洞,进而找到制服它们的方法。 CWE是社区...
2021 OWASP Top10
热门推荐
qq_54996168的博客
03-26 1万+
OWASP Top10搬运
OWASP TOP10】2021全球十大常见安全漏洞
weixin_53472121的博客
03-17 1万+
十大安全漏洞 简单概括 文章目录十大安全漏洞前言一、 失效的访问控制1.概述2.攻击情景范例二、加密失败1.概述2.攻击情景范例三、 注入1.概述2.攻击情景范例四、安全设计1.概述2.攻击情景范例五、安全配置错误1.概述2.攻击情景范例六、易受攻击和过时的组件1.描述2.攻击情景范例七、认证和授权失败1.描述2.攻击情景范例八、软件和数据完整性故障1.描述2.攻击情景范例九、 安全日志记录和监控失败1.描述2.攻击情景范例十、:服务器请求伪造1.描述2.攻击情景范例总结 前言 现在勉强算入门了ct
OWASP安全设计指南:提升应用程序防御能力
"OWASP应用程序安全设计指南是一份专注于提升应用程序安全设计的实用文档,由王颉和王文君翻译的中文版1.02版本。该指南强调了在软件开发过程中,尤其是在设计阶段,对安全设计的必要性。它指出,尽管编码安全(如'...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值