本文使用的是OWASP TOP 10的2017年标准。 关于OWASP-TOP10的介绍:https://www.safedog.cn/news/5092.html [严重程度TOP1] 注入 注入漏洞在当今的应用中非常普遍,之所以出现这些漏洞 是因为web应用程序会将用户所控制的输入数据解释为实际的命令或参数;注入攻击取决于当前web应用程序正在使用的技术以及这些技术会如何...
如果大家对这个提案有什么意见,都可以通过邮件向OWASP-TopTen(at)lists.owasp.org或者dave.wichers(at)owasp.org(私人评论)提交,时间截止至6月30日。2017 OWASP Top10最终版本将于7月或8月公布。
此外,在最新版的2017 Top10榜单中的A5 :中断访问控制(Broken Access Control)是由2013版的A4:不安全的直接对象引用( Insecure Direct Object References)和A7 :功能级别访问控制漏洞(MissingFunction Level Access Control)合并而来的。OWASP在一篇博客文章中写道,“为什么‘跨站请求伪造’和‘未经验证的重定向...
每种路径方法都代表了一种风险,这些风险都值得关注。 什么是 OWASP TOP 10 OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。 其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并...
近日,开放式 Web 应用程序安全项目(OWASP)发布了最终版 2017 Top 10 榜单。在 2017 威胁榜单中,注入攻击漏洞仍然位居 Top 10 威胁之首,而 XSS 的威胁程度从 A3 降到了 A7。敏感信息泄露、安全配置错误、失效的访问控制等威胁均有提升,值得企业重视。与此同时,榜单中还出现了一些新的安全威胁,包括 XXE ...
2017 OWASP Top10威胁解读(*同前几年一样,排名是根据用户意见和公开讨论编写的) A1:2017-Injection(注入漏洞) 当不可信的数据作为命令或查询语句的一部分被发送给解释器的时候,会发生注入漏洞,包括SQL、NoSQL、OS以及LDAP注入等。攻击者发送的恶意数据可能会诱使解释器执行计划外的命令,或在没有适当授权的情况下访问...
OWASP计划在2017年6月30日公共评议期结束后,于2017年7月或者8月公布OWASPTop10-2017年 度的最终公开发布版。 该版本的OWASPTop10标志着该项目第十四年提高应用安全风险重要性的意识。该版本遵循2013 年更新,2013版的Top10主要变化是添加了2013-A9使用含有已知漏洞的组件。我们很高兴看到, ...
2017-OWASP Top10 2017-OWASP Top10 ①注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL、NoSQL、OS和LDAP注入的注入缺陷。 攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 ②失效的身份认证...
OWASP Top 10多年来经历了几次迭代,之前的版本包括2004年、2007年、2010年、2013年和2017年发布。 从发布的表中,我们可以看到“注入”仍然是应用安全风险中排名第一。虽然排名顺序发生了细微的变化,但2017年的owasp中出现了三名新成员,他们分别是 XML外部实体(XXE),不安全的反序列化,以及不足的记录和监控。
在信息安全研究团队和产品研发团队的努力下,漏洞扫描产品安全策略按照OWASP TOP 10 2017更新了漏洞模板, 为网络安全保驾护航! 明鉴Web应用弱点扫描器系列产品可以帮助用户充分了解Web应用存在的安全隐患,建立安全可靠的Web应用服务,改善并提升应用系统抗各类Web应用攻击的能力(如:注入攻击、跨站脚本、文件包含、钓鱼攻击、...