(OWASP)(笔记)(代码审计)OWASP TOP TEN 2021

最新推荐文章于 2025-11-14 12:44:57 发布
原创 最新推荐文章于 2025-11-14 12:44:57 发布 · 1.2k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记 #安全 #网络

写在前面

这篇文章是关于作者学习2021版owasp top 10的笔记
原文(英文)的地址是:owasp-top-ten
在我个人看来,了解这份报告,一个目的是为了面试(笑),另一个目的是方便确定代码审计的切入点,关于这一点,我在文章最后进行了一个总结,这个总结可能不够全面,哪位朋友有意见或疑惑可以留言或联系h3llow0rld@foxmail.com

漏洞列表

顺序 漏洞
1 Broken Access Control
2 Cryptographic Failures
3 Injection
4 Insecure Design
5 Security Misconfiguration
6 Vulnerable and Outdated Components
7 Identification and Authentication Failures
8 Software and Data Integrity Failures
9 Security Loggin and Monitoring Failures
10 Server-Side Request Forgery

漏洞详情

Broken Access Control

漏洞描述
  • 违背最小权限原则或默认拒绝原则,本来只能允许特定capabilities,roles,user,但是所有人都能访问
  • 通过修改url(参数伪造或强制浏览),内部应用状态,或者通过使用工具修改api请求来绕过访问控制检查
  • 通过提交其他用户的独特标识参数来访问或编辑他人账户(IDOR)
  • POST,PUT,DELETE方法的请求缺少访问控制
  • 垂直越权。未登录使用登陆用户功能,普通用户登录使用管理员功能
  • 元数据操纵,譬如重放或伪造JWT,或者操纵cookie或隐藏字段来进行提权或滥用JWT失效机制
  • CORS错误配置导致允许来自未授权或不信任域的请求访问api
  • 作为未认证用户浏览需要认证的页面,或则作为标准用户浏览特权用户的页面
表现形式

CWE-22 Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
CWE-23 Relative Path Traversal
CWE-35 Path Traversal: ‘…/…//’
CWE-59 Improper Link Resolution Before File Access (‘Link Following’)
CWE-200 Exposure of Sensitive Information to an Unauthorized Actor
CWE-201 Exposure of Sensitive Information Through Sent Data
CWE-219 Storage of File with Sensitive Data Under Web Root
CWE-264 Permissions, Privileges, and Access Controls (should no longer be used)
CWE-275 Permission Issues
CWE-276 Incorrect Default Permissions
CWE-284 Improper Access Control
CWE-285 Improper Authorization
CWE-352 Cross-Site Request Forgery (CSRF)
CWE-359 Exposure of Private Personal Information to an Unauthorized Actor
CWE-377 Insecure Temporary File
CWE-402 Transmission of Private Resources into a New Sphere (‘Resource Leak’)
CWE-425 Direct Request (‘Forced Browsing’)
CWE-441 Unintended Proxy or Intermediary (‘Confused Deputy’)
CWE-497 Exposure of Sensitive System Information to an Unauthorized Control Sphere
CWE-538 Insertion of Sensitive Information into Externally-Accessible File or Directory
CWE-540 Inclusion of Sensitive Information in Source Code
CWE-548 Exposure of Information Through Directory Listing
CWE-552 Files or Directories Accessible to External Parties
CWE-566 Authorization Bypass Through User-Controlled SQL Primary Key
CWE-601 URL Redirection to Untrusted Site (‘Open Redirect’)
CWE-639 Authorization Bypass Through User-Controlled Key
CWE-651 Exposure of WSDL File Containing Sensitive Information
CWE-668 Exposure of Resource to Wrong Sphere
CWE-706 Use of Incorrectly-Resolved Name or Reference
[CWE-862 Missing Authorization](https://cwe.mitre.org/data/definitions/862.html
CWE-863 Incorrect Authorization
CWE-913 Improper Control of Dynamically-Managed Code Resources
CWE-922 Insecure Storage of Sensitive Information
CWE-12

最低0.47元/天 解锁文章
h4ckb0ss
关注
Kali linux 学习笔记(四十一)Web渗透——扫描工具之w3af 2020.3.18
闵行小鱼塘
03-18 1711
扫描工具之w3af
【渗透测试】OWASP TOP10
热门推荐
网络安全从业者的学习笔记
05-24 1万+
OWASP Web App TOP10是由开放式Web应用程序安全项目组织(OWASP)提出的“十大安全风险列表”,总结了Web应用程序最通用的十大安全风险,旨在帮助IT公司和开发团队规范应用程序开发流程和测试流程,从而提高Web产品的安全性。
OWASP代码审计指南v2.0(含中英文2个版本).zip
10-07
OWASP代码审计指南v2.0,中英文2个版本。 OWASP代码审计指南v2.0_英文版-223页 OWASP代码审计指南v2.0_中文版-316页
OWASP TOP 10 2019
lxy123_com的博客
03-10 1511
1,A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 2,A2:2017-失效的身份认证 通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。 3,A3:2017-敏感数据泄露 许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据
探秘 OWASP DevSecOps 指南:强化软件安全的新范式
最新发布
gitblog_00069的博客
11-14 446
是一个开源项目,由全球开放 Web 应用程序安全项目(OWASP)维护,旨在帮助开发团队将安全性无缝融入到 DevOps 流程中。本文将深入解析该项目的核心理念、技术分析、应用价值及其独特特点,以期引导更多的用户采用并从中受益。 ## 一、项目简介 **DevSecOps** 是 Development(开发)、Security(安全)和 Operations(运维)的结合,它强调在软件开发生
OWASP Top Ten
weixin_51561328的博客
11-16 364
https://owasp.org/www-project-top-ten/ 重点解释 A02:2021 – Cryptographic Failures(A02:2021 – 加密失败) 概述 上移一个位置到#2,以前称为敏感数据暴露,这更像是一个广泛的症状而不是根本原因,重点是与密码学相关的失败(或缺乏密码学)。这往往会导致敏感数据的暴露。包括的值得注意的常见弱点枚举 (CWE) 包括CWE-259:使用硬编码密码、CWE-327:损坏或有风险的加密算法和CWE-331 熵不足。 描述 首先
OWASP TOP 10
Innocence_0的博客
03-03 1154
OWASP Top 10简介Project,开放式Web应用程序安全项目)是一个在线社区,开源的、非盈利的全球性安全组织,主要在Web应用安全领域提供文章、方法论、文档、工具和技术,致力于应用软件的安全研究。OWASP的使命是使应用软件更加安全,使企业和组织能够对应用安全风险做出更清晰的决策。目前OWASP全球拥有250个分部,近7万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
OWASP - 2021
lixbao的博客
04-12 430
OWASP介绍 官网:http://www.owasp.org.cn/ OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险做出更清晰的决策。目前OWASP全球拥有250个分部近7万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。 近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。 20
owasp0
03-15
其发布的《OWASP Top Ten》是一份广泛认可的报告,列出了最常见的 Web 应用程序安全风险。以下是其中一些主要漏洞及其技术概述: #### 1. 注入 (Injection) 注入攻击发生在不受信任的数据作为命令或查询的一部分...
个人学习Java安全笔记.zip
11-02
13. ** OWASP(开放式Web应用程序安全项目)**:OWASP提供了一系列的安全最佳实践和资源,如OWASP Top Ten,列出了最常见的web应用安全风险。 14. **Java的Sandbox机制**:Java虚拟机的Sandbox环境允许不受信任的...
ASDTX有限公司系统渗透测试发现的关键漏洞报告
- **测试依据**:遵循相关的安全标准和最佳实践,如OWASP Top Ten等。 - **测试工具**:奇安信集团使用的专业渗透测试工具,用于模拟攻击和识别弱点。 3. **问题归纳**: - **SQL注入**:发现并记录了SQL注入...
OWASP Top Ten的相关
luftmenschy的博客
12-14 204
A01:访问控制失效(Broken Access Control)从第五位上升到了第一位。94%的应用程序都经过了某种形式的访问控制失效测试。映射到访问控制失效的34个CWE在应用程序中的出现频率比其他任何类别都要多。 A02:2021年,加密失败(Cryptographic Failure)——此前名为“敏感数据暴露”(Sensitive Data Exposure),这一名称只是描述了广泛的症状而非根本原因——上移到了榜单第二位。此处需要重新关注与密码学相关的故障,这些故障通常会导致敏感数据暴露或系统
java代码审计2之OWASP TOP10
赵花花08042的博客
10-30 674
----------Owasp top 10 2017---------- 注入 1. SQL注入 1.Jdbc拼接不当导致sql注入 Jdbc有两种方式执行SQL语句 A.Preparestatement:会对SQL语句进行预编译, 支持?对变量位进行占位,在预编译阶段填入相应的值构造出完整的SQL语句,这样可避免SQL注入。 但开发者有时为了便利,会直接拼接SQL语句,这样则无法阻止SQL注入。 B.Statement:每次执行时都需要编译,增大系统开销 2.框架使用不当造成sql注入 对jdbc进行更
做网安必看的OWASP TOP 10(2021)最新榜单
weixin_55821558的博客
03-30 7187
近日,OWASP发布2021年草案,全新的OWASP Top 10正式发布。 2021年的OWASP Top10 发生了很多变化,新增三个类别,四个类别的命名和范围也发生了变化,同时对top10进行了一些合并。 值得一提的是,“失效的访问控制”这一漏洞从2017年的第五名,取代“注入”,跃居榜首,成为最大的应用软件安全风险。 什么是OWASP Top 10 OWASP,全称“开放式We...
代码审计
mirror97black的博客
12-20 617
代码审计
翻译 OWASP Top Ten
m0_62314360的博客
12-13 1047
A01:2021 – Broken Access Control A01:2021 – 访问控制中断 概述 从第五位上升到第五位,94%的应用程序接受了某种形式的中断访问控制的测试,平均发生率为3.81%,并且在贡献的数据集中发生次数最多,超过318k。包括值得注意的常见弱点枚举(CWE-200:敏感信息暴露给未经授权的行为者,CWE-201:通过发送的数据暴露敏感信息, 和CWE-352:跨站点请求伪造。 描述 访问控制强制实施策略,以便用户不能在其预期权限之外执行操作。故障通常会导致未经授..
接口安全性测试技术(1)OWASP Top Ten
08-25 573
OWASP Top Ten OWASP Top 10是一个面向开发人员和web应用程序安全性的标准意识 文档。它代表了关于web应用程序最关键的安全风险的广泛共识。 十大Web应用程序安全风险(2017版) 注入:注入缺陷,如SQL、NoSQL、OS和LDAP注入,当将不受信任的数据作为命令或查询的一部分发送到解释器时注入缺陷随即产生。攻击者的恶意数据可以欺骗解释器执行非预期的命令或在没有适当授权的情况下访问数据。 失效的身份认证:与身份验证和会话管理相关的应用程序功能通常会错误地实现,从而使攻击者能够破.
翻译OWASP TOP TEN
lanlan_yangyang的博客
12-14 3211
打开owasp top ten,选择其中两个进行翻译 A07:2021–识别和身份验证失败: 概述 以前称为中断的身份验证,这一类下滑从第二个立场,现在包括了共同的弱点与标识相关的枚举(CWE)失败。值得注意的CWE包括CWE-297:验证不当主机不匹配的证书,CWE-287:不正确的身份验证,和CWE-384:会话固定. 说明 确认用户的身份、身份验证和会话管理对于防止与身份验证相关的攻击。如果应用程序: 允许自动攻击,如凭证填充,其中攻击者拥有有效用户名和密码的列表。 允许暴.
OWASP Top 10 详细解读
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
02-24 5032
A01:2021-访问控制破坏从第五位上升。94%的应用程序进行了某种形式的访问控制中断测试。映射到Broken Access Control的34个通用缺陷枚举(CWE)在应用程序中的出现次数比任何其他类别都多。A02:2021-加密机制失效上升一位至第2位。以前称为敏感数据暴露,这是普遍的现象,而不是根本原因。这里重新关注的是与加密相关的故障,这些故障通常会导致敏感数据暴露或系统受损。A03:2021-注入下滑至第3位。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值