OWASP A8 Software and Data Integrity Failures(软件和数据完整性故障)

最新推荐文章于 2025-02-04 10:58:46 发布

真不想起名TAT

最新推荐文章于 2025-02-04 10:58:46 发布

阅读量745

点赞数 1

CC 4.0 BY-SA版权

分类专栏： OWASP 文章标签：网络安全

本文链接：https://blog.youkuaiyun.com/I_like_ctrl/article/details/127228535

Software and Data Integrity Failures(软件和数据完整性故障)

这是在 2021 年中,增加的新的类别.

在之前 2017 年版本中,是不安全的反序列化,但在 2021 年版本中包含在其中了.

本文来讲讲序列化吧

就以 PHP 为例吧,实际上大部分面向对象语言的序列化思路也是如此

序列化,说简单点就是把对象变成可以传输的字符串

下面是一段 PHP 代码.可以达到简单的序列化

class Demo{
   
    public $test="Hello,World!"
}

$s=new Demo();
$se=serialize($s);

print_r($se)

这时候就会有这种结果

O:4:“Demo”:1:{s:4:“test”;s:12:“Hello,World!”;

从左到右依次分析

/*
O:代表object
4:是对象名称长度
Demo:对象名称
1:代表对象里面有一个变量
s:数据类型
4:变量名称长度
test:变量名称
s:数据类型
12:变量长度
Hello,World!:变量值
*/

反序列化也是很好理解的

class Demo{
   
    public $test="Hello,World!"

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

真不想起名TAT

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

常见的软件缺陷与风险

oscar999的专栏

10-06

1028

MITRE 和 OWASP 每年都会发布软件的常见和危险的弱点，软件弱点包括在软件解决方案的代码、体系结构、实现或设计中发现的缺陷、bug、漏洞或各种其他错误。提醒开发者在软件开发的时候予以注意和防护。

浅析数据完整性问题

软件开发

11-28

880

浅析数据完整性问题---- 在开发C/S结构的大型数据库应用软件时，一般情况下，软件开发人员和数据库设计人员并不是同一个人，这就需要协商好一些即可由程序设计人员解决又可由数据库设计人员来解决的问题，保证数据完整性就是一个这样的问题。 ---- 笔者举一个最简单的例子：货物出库、退货的例子 ---- 这里有库存表(kcb)、出库单表(ckb) 和退货单表(thb)---- 库存表包含如下

参与评论您还未登录，请先登录后发表或查看评论

A08.软件和数据完整性故障-[不安全的反序列化]-[PHP反序列化漏洞]最简概述

qwsn

12-24

2385

PHP反序列化漏洞在理解这个漏洞前,你需要先搞清楚php中serialize()，unserialize()这两个函数。 1、序列化serialize() 序列化：序列化说通俗点就是把一个对象变成可以传输的字符串比如下面是一个对象： class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列化序列化后得到的结果是这个样子的:O:1:"S"

Web安全之软件和数据完整性故障类漏洞详解及预防

路多辛的所思所想

02-14

555

当程序中整合了三方库、插件、模块等资源时、使用关键数据时、在安装或更新软件时，因为没有校验完整性而导致的安全漏洞统称为软件和数据完整性故障类漏洞（Software and Data Integrity Failures）。在程序开发过程中，难免会使用到三方库、插件、模块等，对应的文件很多可能是存储在公共平台上的，例如github、gitlab、gitee等，所以使用这些资源的时候校验它们的完整性尤为重要。当程序中使用用户提交的数据或者从三方获取的数据时，如果缺少对数据完整性的校验，也很容易出现安全问题。

#OWASP TOP 10#渗透测试#网络安全# 一文搞懂什么是软件和数据完整性故障（Software and Data Integrity Failures）！！！

最新发布

soc的博客

02-04

1315

软件和数据完整性故障（Software and Data Integrity Failures）是指在软件开发和运行过程中，由于未能有效校验软件和数据的完整性，导致软件或数据被篡改、破坏或注入恶意代码，从而引发的安全问题。第三方库和插件的使用：在程序开发过程中，经常会使用到第三方库、插件、模块等资源。这些资源通常存储在公共平台上，如GitHub、GitLab、Gitee等。如果在使用这些资源时没有校验它们的完整性，攻击者可能会注入恶意代码。用户提交的数据。

OWASP TOP10系列之TOP8 # A8 不安全的反序列化

weixin_43125873的博客

08-15

592

OWASP TOP10系列之#TOP8# A8-Insecure Deserialization 不安全的反序列化文章目录OWASP TOP10系列之#TOP8# A8-Insecure Deserialization 不安全的反序列化前言一、Insecure Deserialization 不安全的反序列化是什么？什么情况有反序列化安全问题怎么防御反序列化攻击？其他防御措施误区总结前言一、Insecure Deserialization 不安全的反序列化是什么？有些时候我们需要把应用程序中的数据以

Web安全之OWASP TOP10漏洞

m0_64481831的博客

03-09

1712

简单点说，OWASP概括了“10项最严重的Web应用程序安全风险列表”，总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。OWASP每四年发布一次，现在最新的OWASP是由2021年公布的。

OWASP TOP 10的风险分析、预防措施以及攻击范例（下）

Language_Sumuzhe的博客

05-20

956

OWASP TOP 10的风险分析以及预防措施（A04-A10） A04：2021-不安全设计 Insecure Design 风险说明：不安全设计是一个广泛的类别，代表不同的弱点，表示为“缺少或无效的控制设计”。不安全设计不是所有其他前10个风险类别的来源。不安全设计和不安全的实现之间存在差异。我们区分设计缺陷和实现缺陷是有原因的，它们有不同的根本原因和补救措施。安全设计仍然可能存在实现缺陷，从而导致可能被利用的漏洞。一个不安全设计不能通过一个完美的实现来修复，因为根据定义，所需的安全控制从未被创建来抵

02-Owasp Top 10

qq_56414082的博客

02-14

373

从第五位上升称为Web应用程序安全风险最严重的类别，常见的CWE包括：将敏感信息泄露给未经授权的参与者、通过发送的。

2021的OWASP TOP 10

2301_79096184的博客

09-20

1795

OWASP（开放Web应用安全项目）是一个非营利性组织，旨在提高软件安全性。每四年一个更新，2025年就会再次更新，到时候这篇文章也会实时更新。我主要从定义，场景，原因，影响，防护措施进行介绍。

OWASP TOP 10 漏洞指南（2021）

一期一会的博客

02-11

9894

什么是OWASP TOP 10? OWASP，全称“开放式Web应用程序安全项目”是一个非营利性的组织，2003年该组织首次出版了“Top 10”，也就是10项最严重的Web应用程序安全风险列表。 Top 10 总结了Web应用程序最可能、最常见、最危险的十大安全漏洞。近几年OWASP TOP的变化 A1 失效的访问控制概述失效的访问控制，也叫越权，攻击者通过各种手段提升自己的权限，越过访问控制，使访问控制失效，这样攻击者就可以冒充用户、管理员或拥有特权的用户，或者创建、访问、更新或删除任何记录。

【土木人自学网安Day2】OWASP TOP10简单介绍及应用

qq_44117967的博客

01-25

1990

【土木人自学网安Day2】OWASP TOP10简单介绍及应用

【渗透测试】OWASP TOP10

热门推荐

网络安全从业者的学习笔记

05-24

1万+

OWASP Web App TOP10是由开放式Web应用程序安全项目组织（OWASP）提出的“十大安全风险列表”，总结了Web应用程序最通用的十大安全风险，旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程，从而提高Web产品的安全性。

以下是 OWASP Top 10 详细介绍-2022

weixin_64542139的博客

01-09

585

OWASP Top 10 2022 的详细介绍

【OWASP Top 10】2021版

weixin_49422491的博客

10-07

2462

本质上来说，OWASP Top 10主要是一个意识文件。然而，这并没有阻止组织自其2003年发布以来将其用作实际上的行业AppSec标准。如果您想使用OWASP Top 10作为编码或测试标准，请记住它是底线，是起点！OWASP Top 10榜单的目的是推动安全行业了解数据贡献公司所面临的漏洞和漏洞利用趋势，以更好地迎接和应对挑战。目前，OWASP Top 10仍处于初版阶段，还将随着安全行业不断审查其内容而发展完善。

OWASP TOP10 2021版

诚邀网络通信领域商务合作

03-06

1050

文章目录版本变化名词说明A01：2021-失效的访问控制 Broken Access ControlA02：2021-加密机制失效 Cryptographic FailuresA03：2021-注入 InjectionA04：2021-不安全设计 Insecure DesignA05：2021-安全配置错误 Security MisconfigurationA06：2021-自带缺陷和过时的组件 Vulnerable and Outdated ComponentsA07：2021-身份识别和身份验证错误..

【每天学习一点新知识】OWSAP TOP10

RexHa的博客

11-22

1100

OWASP开放式Web应用程序安全项目（open web application security project）每年会通过确定企业面临的最严重的10类威胁，以此提高人们对Web应用程序安全的关注度。

2021 OWASP Top10

qq_54996168的博客

03-26

1万+

OWASP Top10搬运

OWASP TOP 10你了解几个？

Bu2n的博客

01-05

3180

OWASP TOP 102021TOP1 Broken Access ControlTOP2 Cryptographic FailuresTOP3 InjectionTOP4 Insecure DesignTOP5 Security MisconfigurationTOP6 Vulnerable and Outdated ComponentsTOP7 Identification and Authentication FailuresTOP8 Software and Data Integrity Fai.