OWASP A4 Insecure Design(不安全的设计)

最新推荐文章于 2024-10-10 22:57:50 发布
原创 最新推荐文章于 2024-10-10 22:57:50 发布 · 637 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全

Insecure Design(不安全的设计)

这个是 OWASP 在今年新出的类别.

根据 OWASP 的说法,这一类着重于在设计与架构中的风险.来呼吁更多使用到威胁建模,安全设计模式与参考架构.

也就是说在程序设计的时候,避免无效的程序设置,暴露敏感数据.

其中著名的 CWE 中有

  1. CWE-209:产生的错误信息中包含敏感信息
  2. CWE-256:受保护的凭证不足
  3. CWE-502:信任边界冲突
  4. CWE-522:凭据保护不足

更多的 CWE 例子可以点击这里

我个人更倾向于是应用设计时的逻辑漏洞

以 CWE-209 为例

比方说 SQL 注入的错误回显

也就是说, SQL 查询报错的语句,返回显示界面

至于错误回显是怎么造成的,可以看我的博客文章里

SQL 注入之错误回显

再换个思路想

在一个登录界面,你尝试乱输入一个账号和密码

这个应用它只会返回

账户不存在

密码不正确

这就很可怕了

只要它没有爬虫限制

那么我就可以尝试爬下该应用整个所有账号

所以,现在绝大部分应用的登录,业务处理等会采取准确且模糊的说服(?

再说说 CWE-256

我们可以

最低0.47元/天 解锁文章

200万优质内容无限畅学
Java实战:OWASP-Insecure Design安全设计)高级实战指南(四)
啊不行了,要长脑子了
04-19 3008
设计上的安全”指在系统构建初期就缺乏对安全边界、权限模型、异常流程、敏感路径的系统性考量。即便代码实现无误,也会因为设计结构本身存在缺陷而导致漏洞。“安全的代码,可能是失误。安全设计,是失败的架构。安全左移是一句口号,而是一种责任的提前兑现。如果你希望系统上线后没有“补丁”式加固,那就从设计阶段开始加固它。
OWASP TOP 10你了解几个?
Bu2n的博客
01-05 3182
OWASP TOP 102021TOP1 Broken Access ControlTOP2 Cryptographic FailuresTOP3 InjectionTOP4 Insecure DesignTOP5 Security MisconfigurationTOP6 Vulnerable and Outdated ComponentsTOP7 Identification and Authentication FailuresTOP8 Software and Data Integrity Fai.
OWASP应用安全设计指导.pdf
02-20
OWASP 应用程序安全设计项目重点是突出一些重要的安全设计原则与步骤,开发人员和架构师必 须遵循它们来进行安全的应用程序设计。通过设计审核,我们可以发现其中的风 险,然后采取措施在设计中避免这种风险。
2021 OWASP TOP 4安全设计
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
07-12 1722
OWASP TOP 4 业务逻辑漏洞
安全设计
weixin_45130489的博客
11-01 386
OWASP安全设计 漏洞产生的原因: 在开发软件时,在关键身份验证、访问控制、业务逻辑和关键流部位没有进行安全设计。 怎么发掘? 业务逻辑的显性体现: 1.支付逻辑 2.密码找回 3.验证码暴力破解 4.验证码的重复使用 5.验证码客户端回显 6.验证码绕过 7.验证码自动识别 怎么利用? 发现这些漏洞之后,或者是可以获得管理员的账号密码或者是私密用户的账号密码或者是造成对网站的业务上的损害。 1.支付逻辑漏洞: 所有涉及购买、支付等方面的功能处就有可能存在支付漏洞。 三个重要因素:用户、商品、商家
Web安全安全设计类漏洞详解及预防
路多辛的所思所想
02-03 879
安全设计漏洞主要指在系统设计和架构设计中,由于恰当的设计导致的安全风险。需要注意安全设计安全的实现的区别,因为它们有同的原因和预防措施。安全设计即使完美得被实现出来,也依然是有问题的,因为在设计过程中就没有考虑针对特定攻击的安全防范措施。2、导出文件功能,禁止使用先生成公共读的下载链接给到客户端下载的方式,需要使用更安全的方式来实现,例如二进流制形式下载。列出的这五条只是安全设计类漏洞的很小一部分,更多的相关漏洞需要根据漏洞定义去体会和理解。常见的安全设计类漏洞及预防措施。
23种设计模式-安全的单例模式
kangkang_hacker的博客
06-09 235
出自:https://blog.youkuaiyun.com/lw_power/article/details/53261388#饿汉式为什么要有单例的类呢? 有些对象的创建消耗时间和内存是非常大的,恰恰好这些对象在我们的应用中只需要使用 1 个,如果能得到控制,会造成资源的浪费。 说明:就想我们的办公室、家里那些很贵的电器,比如电冰箱、空调、打印机、热水器这一类电器,一般情况下,在一个小范围内我们只用使用...
OWASP API 安全 Top 10 (2023)
09-24
OWASP API安全Top 10(2023)列出了API设计和实现中需要重点防范的前十大安全风险。这些风险的详细介绍包括每个风险的概述、攻击向量、影响程度、示例代码以及如何避免这些风险的建议措施。通过这份文档,开发者可以...
OWASP靶机、安全学习、测试
05-24
这里提供的是owasp靶机的下载,下载后直接...A4安全的直接对象引用 A5—安全配置错误 A6—敏感信息泄漏 A7—功能级访问控制缺失 A8—跨站请求伪造(CSRF) A9—使用含有已知漏洞的组件 A10—未验证的重定向和转发
初识Top4安全设计”以及Top5“安全配置错误”
m0_61294299的博客
10-24 1602
初识Top4安全设计”以及Top5“安全配置错误”。
owasp十大web漏洞_OWASP的十大Web应用程序安全风险
danpu0978的博客
05-13 904
owasp十大web漏洞 开放Web应用程序安全性项目(OWASP)是一个全球性的非营利慈善组织,致力于改善软件的安全性。 其任务是使软件安全可见 ,以便全世界的个人和组织可以就真正的软件安全风险做出明智的决定 。 该组织每隔几年就会发布有关Web应用程序安全风险的前十名列表。 该列表于2003年首次发布,并于2013年6月进行了更新。 这是它们的10个最关键的Web应用程序安全风险的摘要...
OWASP TOP 10的风险分析、预防措施以及攻击范例(下)
Language_Sumuzhe的博客
05-20 961
OWASP TOP 10的风险分析以及预防措施(A04-A10) A04:2021-安全设计 Insecure Design 风险说明: 安全设计是一个广泛的类别,代表同的弱点,表示为“缺少或无效的控制设计”。安全设计是所有其他前10个风险类别的来源。安全设计安全的实现之间存在差异。我们区分设计缺陷和实现缺陷是有原因的,它们有同的根本原因和补救措施。安全设计仍然可能存在实现缺陷,从而导致可能被利用的漏洞。一个安全设计能通过一个完美的实现来修复,因为根据定义,所需的安全控制从未被创建来抵
OWASP-TOP10-2021(1-5)
weixin_50605813的博客
09-03 1051
方案:(1)使用强密码和密钥管理: 确保使用足够强度的密码和密钥,避免使用弱密码,实施有效的密钥管理策略,包括定期旋转和更新密钥,使用硬件安全模块(HSM)来存储和管理密钥,提高安全性;风险:一些常见的例子包括(1)SQL 注入: 当用户控制的输入被传递到 SQL 查询时,就会发生这种情况,攻击者可以通过 SQL 查询来操纵此类查询的结果,当这种输入被传递到数据库查询中时,攻击者就有可能访问、修改和删除数据库中的信息,这意味着攻击者可以窃取敏感信息,如个人信息和凭证等;(2)访问未经授权的功能。
OWASP Top 10】2021版
weixin_49422491的博客
10-07 2475
本质上来说,OWASP Top 10主要是一个意识文件。然而,这并没有阻止组织自其2003年发布以来将其用作实际上的行业AppSec标准。如果您想使用OWASP Top 10作为编码或测试标准,请记住它是底线,是起点!OWASP Top 10榜单的目的是推动安全行业了解数据贡献公司所面临的漏洞和漏洞利用趋势,以更好地迎接和应对挑战。目前,OWASP Top 10仍处于初版阶段,还将随着安全行业断审查其内容而发展完善。
Web应用安全的权威指南OWASPTop 10
易之阴阳,量子纠缠,道之一体,缘起性空
03-30 634
OWASP (Open Web Application Security Project) Top 10 是由OWASP组织发布的关于Web应用安全的权威指南,列举出当前最严重的Web应用安全风险。为了防范这些风险,开发者和安全团队应当在开发、测试、部署和运维阶段采取相应措施,例如使用安全编码实践、实施严格的访问控制策略、定期更新组件和补丁、进行安全审计和渗透测试等。
2023 年和 2024 年最具威胁的 25 种安全漏洞(CWE Top 25)
最新发布
qq_42568323的博客
10-10 1979
了解这些安全漏洞并采取适当的预防措施,可以大幅降低软件开发和应用过程中潜在的安全风险。定期审查代码、实施安全测试和保持更新是保护系统安全的关键步骤。
CWE-通用弱点枚举简介
plstudio1的博客
03-19 4188
对于软件来说,安全是航空、航天、军工、电力、金融等关键行业极为重视的特性之一。因此,保证软件尽量安全是软件研发人员的重要责任。可以说,软件安全漏洞是软件研发者的一大死敌。古语有云:知彼知己,百战殆。要想取得战争的胜利,就要尽可能充分认识软件安全漏洞。CWE就是认识它们的一个窗口。从今天开始,我通过把CWE中的内容逐步翻译出来,同大家一起认识和了解软件漏洞,进而找到制服它们的方法。 CWE是社区...
2021 OWASP Top10
热门推荐
qq_54996168的博客
03-26 1万+
OWASP Top10搬运
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值