OWASP

HTML与安全性:XSS、防御与最佳实践

跨站脚本攻击(XSS)仍然是OWASPTop10安全威胁之一,对用户数据和网站完整性构成严重威胁。我们作为前端工程师,理解并防御这些威胁不仅是技术要求,更是保护用户的道德责任。
工呈士·2025-04-27 16:42

OWASP出品:Xenotix XSS漏洞测试框架及简单使用

OWASPXenotixXSSExploitFramework是一个高效的跨站脚本漏洞(XSS)检测和攻击测试框架。
weixin_30598225·2025-04-26 20:01

OWASP TOP 10 (2013)

1.注入注入攻击漏洞,例如SQL,OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被恰当授权时访问数据。2.失效的身份认证和会话管理身份认证:最常见的是登录功能,往往是提交用户名和密码,在安全性要求更高得情况下,有防止密码暴力破解的验证码,基于用户端的证书,物理口令卡等会话管理:HT
CN_CodeLab·2025-04-26 20:30

OWASP Top 10--跨站脚本(XSS)》

说明:本文章仅限于对跨站脚本漏洞的学习和了解跨站脚本漏洞,即XSS发生在当应用程序发送给浏览器的页面中包含用户提供的数据,而这些数据没有经过适当的验证或转义(Escape)或没有使用安全的JavaScriptAPI。1、定义跨站脚本攻击(CrossSiteScripting),缩写为XSS(为了避免与样式CSS混淆,缩写为XSS),恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之
a378177461·2025-04-26 19:28

常见网络安全攻击类型深度剖析(二):SQL注入攻击——原理、漏洞利用演示与代码加固方法

OWASP(开放式Web应用安全项目)统计,SQL注入连续多年稳居“OWASPTop10”漏洞榜单前列,每年导致全球数千万条数据泄露。
迷路的小绅士·2025-04-26 16:31

JAVA:Web安全防御

目录一、Web安全基础与常见威胁OWASPTop10核心漏洞解析•SQL注入(SQLi)、跨站脚本(XSS)、跨站请求伪造(CSRF)•不安全的反序列化、敏感数据泄露Java后端常见攻击场景•通过HttpServletRequest
zizisuo·2025-04-23 18:13

OWASP TOP 10漏洞总结

A01权限控制失效1.概述在Web应用系统中,由于权限控制机制未能正确实施或存在缺陷,导致用户能够访问或操作他们本不应该具备权限的资源或功能。这种情况通常发生在系统未能遵循最小权限原则或默认拒绝原则。2.危害未认证信息泄露:攻击者可以访问未经授权的信息,例如其他用户的账户信息、敏感文件等。内部数据篡改:攻击者可能修改或破坏数据,影响数据的完整性和可靠性。数据删除:攻击者可能删除未经授权的数据。越权
爱学习的小谢啊·2025-04-22 21:58

OWASP十大安全漏洞解析

OWASP(开放式Web应用程序安全项目)发布的“十大安全漏洞”列表是Web应用程序安全领域的权威指南,它总结了Web应用程序中最常见、最危险的安全隐患。
xuan哈哈哈·2025-04-22 21:26

【网络安全】OWASP 十大漏洞

1.OWASP十大漏洞为了应对未来的风险,安全专业人员需要随时掌握最新信息。之前,您了解了CVE®列表,这是一个公开的已知漏洞和暴露列表。CVE®列表是全球安全社区相互共享信息的重要信息来源。
学习溢出·2025-04-22 20:25

安全测试报告模板

安全测试报告一、项目概况项目名称XX智慧医疗平台被测系统版本V2.3.1测试类型渗透测试+漏洞扫描测试时间2024年2月15-20日测试标准OWASPTOP102021二、测试环境生产环境镜像:-服务器
慧一居士·2025-04-19 02:55

SQL注入原理简解

SQL注入作为近些年来owasptop10前几的常客,对于web安全的威胁不言而喻,本文将简要介绍sql注入的原理机制,希望对于各位进行web开发时有所帮助。
轻落青雨·2025-04-15 00:49

通过 Web 应用程序防火墙 (WAF) 来保护您的nginx应用

WAF使用OWASP规则来保护您的应用程序。这些规则包括针对SQL注入、跨站点脚本攻击和会话劫持等攻击的保护。创建应用程序网关后,您可以对其进行测试以确保其正常工作。
云攀登者-望正茂·2025-04-12 03:49

小白必看!2025 网络安全保姆级学习路线来啦~

使用在线资源(如Cybrary、OWASP)或书籍
白帽黑客-晨哥·2025-03-31 17:28

精心整理-2024最新网络安全-信息安全全套资料(学习路线、教程笔记、工具软件、面试文档).zip

一、网络安全-信息安全学习路线0、网络安全-信息安全思维导图.jpg1、网络安全大师课V2024.pdf2、网络安全行业白皮书.pdf3、网络安全就业选择.pdf4、OWASPTOP10.pdf5、程序员必会英语词汇表
安全方案·2025-03-31 03:48

网站安全攻防:十大常见漏洞及其防范对策_网络安全攻防演练常用漏洞

**数据来源:**ChatGPTTOP10漏洞TOP10漏洞是OWASP(OpenWebApplicationSecurityProject)每年发布的最常见的网络安全漏洞排名。
码农x马马·2025-03-27 20:12

网络安全面试分享:HVV行动题目及答案(非常详细)零基础入门到精通,收藏这一篇就够了

hvv面试题owasptop10问漏洞原理和修复方法略内网渗透拿到webshell,查看本机权限、用户登录情况,是否需要提权查看本机是否存在域,是否有内网使用lcx或直接上线cs,建立隧道以便于对内网进一步进行攻击
网络安全大白·2025-03-27 13:42

小白必看!2025 网络安全保姆级学习路线来啦~

使用在线资源(如Cybrary、OWASP)或书籍
白帽黑客-晨哥·2025-03-27 10:22

渗透测试-越权测试、sql注入

越权访问简介(BrokenAccessControl,简称BAC):web应用程序中常见漏洞,存在范围广、危害大,被OWASP列为web应用十大安全隐患第二名。
夜晚打字声·2025-03-22 21:36

Apache Tomcat默认文件漏洞

按照Tomcat或OWASP说明更换或修改默认错误页面。二、解决办法1、直接删除do
m0_67401606·2025-03-21 23:55

附下载 | 2024 OWASP Top 10 基础设施安全风险.pdf

《2024OWASPTop10基础设施安全风险》报告,由OWASP(开放网络应用安全项目)发布,旨在提升企业和组织对基础设施安全风险、威胁与漏洞的意识,并提供高质量的信息和最佳实践建议。
安全方案·2025-03-17 00:13

2025年渗透测试面试题总结-长某亭科技-安全服务工程师(一面)(题目+回答)

目录长某亭科技-安全服务工程师(一面)1.SQL注入原理与代码层面成因原理代码层面成因漏洞触发场景2.XSS漏洞原理(代码层面)原理代码层面成因漏洞触发场景3.OWASPTop10漏洞(2023版)4.
独行soc·2025-03-11 05:04

小白必看!2025 网络安全保姆级学习路线来啦~

使用在线资源(如Cybrary、OWASP)或书籍
白帽黑客-晨哥·2025-03-07 10:55

OWASP TOP 10漏洞检测指南

OWASP(开放Web应用安全项目)每三年发布一次OWASPTop10,列出了最常见、最危险的Web应用安全漏洞。本文将深入解析OWASPTop102023版本的漏洞,并介绍检测这些漏洞的最佳实践。
·2025-02-28 13:43

安全研究员职业提升路径

阶段一:基础能力沉淀期(0-3年)目标薪资:15-30万/年(国内)核心技能掌握渗透测试全流程(Web/App/内网)熟练使用BurpSuite、Metasploit、IDAPro等工具理解漏洞原理(如OWASPTop10
rockmelodies·2025-02-13 03:38

网站安全测试方案整理

1.漏洞扫描(VulnerabilityScanning)使用工具来扫描网站的已知漏洞,常见的工具包括:OWASPZAPNessusBurpSuiteNikto这些工具可以帮助发现SQL注入、跨站脚本(
qq_58647543·2025-02-08 16:09

Nginx与Web安全:遵循OWASP最佳实践

结合OpenWebApplicationSecurityProject(OWASP)的最佳实践,可以有效提升Web应用的安全防护水平。本文将详细介绍如何使用
墨夶·2025-02-01 17:45

#2025年OWASP TOP 10# 一文搞懂什么是Integer Overflow and Underflow上溢和下溢!!!

免责声明本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章读。目录一、什么是IntegerOverflowandUnderflow上溢和下溢IntegerOverflowandUnderflow(整数上溢和下溢)1.整数上溢(IntegerOverflo
独行soc·2025-01-27 12:54

跨站脚本攻击(XSS)进阶

OWASPTOP10威胁多次把XSS列在榜首。
wespten·2025-01-26 12:12

MySQL 很重要的库 - 信息字典

在做owaspSQL注入的时候,有个很重要的库,那就是信息库:这个库就是:information_schema;(准确的说,数据字典)mysql>showdatabases;+-------------
shenghuiping2001·2025-01-20 19:14

OWASP: OWASP Dependency-Check install and usage 安裝與使用說明

contentVariablesHowtoinstallOWASPDependency-CheckJAVAInstallationyarnInstallationImportYarnGPGkeysandenableYarnreponpmNET8.0InstallationDownloadDependency-checkandinstallHowtorundependency-checkGenera
Chia-Te Kuan·2024-09-09 01:24

网站安全检测:推荐 8 款免费的 Web 安全测试工具

目录1.OWASPZAP(ZedAttackProxy)2.BurpSuiteFreeEdition3.Nikto4.w3af5.SQLMap6.Arachni7.XSSer8.SecurityHeaders.io
白帽黑客2659·2024-09-04 16:21

网络安全售前入门08安全服务——Web漏洞扫描服务

漏洞扫描服务主要针对应用系统漏洞进行扫描,主要包括扫描WEB服务器(IIS、Websphere、Weblogic、Apache等)的漏洞;识别数据库类型;扫描第三方组件的漏洞;检测常见的WEB应用弱点,支持OWASPTOP10
努力工作的网安人·2024-08-31 18:33

提高 Web 应用程序安全性的标准

开放式Web应用程序安全项目(OWASP)是一个国际非营利组织,致力于为任何有兴趣提高Web应用程序安全性的人提供免费文档、工具、视频和论坛。
网络研究观·2024-08-30 11:01

Java 安全资源

OWASP英文单词:OpenWebApplicationSecurityProjectOWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。
·2024-02-25 21:47

OWASP TOP10

OWASPTOP10OWASP网址:http://ww.owasp.org.cnA01:失效的访问控制例如:越权漏洞案例1:正常:每个人登录教务系统,只能查询自己的成绩信息漏洞:张三登录后可以查看自己的成绩例如
Lyx-0607·2024-02-13 19:14

程序员科普小课堂:应用安全防护ESAPI

作者:Uncle_Tom原文链接:应用安全防护ESAPI-云社区-华为云1.ESAPI简介[OWASPEnterpriseSecurityAPI(ESAPI)]()是一个免费、开源的web应用程序安全控制库
·2024-02-11 18:12

2018-03-19-owasp top 10失效的访问控制

1.原理访问控制,即保护资源不被非法访问和使用,目前应用最多的是基于角色的访问控制机制。2.常见访问控制缺陷的场景A仅通过隐藏手段保护隐藏链接而没有对相关url进行访问控制保护。B应用程序往往允许访问隐藏的文件,例如静态Xml文件等。C验证访问权限的代码位于客户端上,而不位于服务端上。D垂直权限提升,水平权限越权访问等。3防范措施图片发自App
最初的美好_kai·2024-02-11 07:10

【Java万花筒】数据的安全钥匙:Java的加密与保护方法

欢迎订阅专栏:Java万花筒文章目录编码的盾牌:Java开发人员的安全性武器库前言1.OWASPJavaEncoder1.1概述1.2库
friklogff·2024-02-08 23:21

Web 漏洞训练平台学习笔记(webgoat & juice shop)

Web漏洞训练平台实验目的了解常见Web漏洞训练平台;了解常见Web漏洞的基本原理;掌握OWASPTop10及常见Web高危漏洞的漏洞检测、漏洞利用和漏洞修复方法;实验环境WebGoat/Juiceshopkali2021.2
Beethen Tang·2024-02-08 20:45

程序员科普小课堂:应用安全防护ESAPI

作者:Uncle_Tom原文链接:应用安全防护ESAPI-云社区-华为云1.ESAPI简介OWASPEnterpriseSecurityAPI(ESAPI)是一个免费、开源的web应用程序安全控制库,使程序员更容易编写风险较低的应用程序
华为云PaaS服务小智·2024-02-07 20:26

SSRF:服务端请求伪造攻击

服务端请求伪造(ServerSideRequestForgery):是最近几年出现的一种web漏洞,2021年,SSRF被OWASP列为Top10web安全风险之一其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功
未知百分百·2024-02-06 17:10

常见渗透测试靶场系统

OWASPBrokenWebApps分享渗透测试演练环境,里面继承了57个数据库的渗透测试环境。包括aspx,asp,php,jsp等等各种演练环境。
bdcm·2024-02-04 19:17

AI大模型专题:OWASP大语言模型应用程序十大风险V1.0

今天分享的是AI大模型系列深度研究报告:《AI大模型专题:OWASP大语言模型应用程序十大风险V1.0》。
人工智能学派·2024-02-04 08:46

攻击资源合集

wikihttps://huntingday.github.ioMITRE|ATT&CK中文站https://arxiv.org康奈尔大学(CornellUniversity)开放文档http://www.owasp.org.cn
苍简·2024-02-02 08:40

Jenkins插件安装推荐

博客名称:五维空间-影子,欢迎关注说明本次介绍的插件基本满足业务使用需求,不清楚应该安装哪些插件的小伙伴可以参考安装后,在设置环节系统推荐的默认插件如下Folders#安装后缺少依赖插件没启用,可不选择OWASPMarku
五维空间-影子·2024-02-01 06:33

漏洞原理 SQL 注入

OWASP漏洞原理启航(第一课)-CSDN博客OWASP漏洞原理<最基础的数据库第二课>-CSDN博客环境准备压缩包解压小皮面板(phpstudy
人生的方向随自己而走·2024-02-01 03:22

2022-07-08 Xss

简介Xss作为owasptop10之一Xss被称为跨站脚本攻击(Croos-site-scripting),本来应该缩写为css,但由于css层叠样式脚本重名,所以更名为Xss,其主要基于js完成恶意的攻击行为
T____t·2024-02-01 01:01

OWASP TOP10 大主流漏洞原理和防范措施,易理解版

章节目录回顾2017年和2021年OWASP主流漏洞都有哪些一、访问控制崩溃表现形式防范二、敏感数据暴露防范三、注入sql注入分类SQL盲注SQL注入产生点SQL注入的思路盲注测试的思路防范SQL四、不安全的设计产生的原因业务漏洞的显现体现五
小飞侠之飞侠不会飞·2024-01-30 15:08

xss靶场实战

OWASPtop102013年度中排第三名,在OWASPtop102017年度中排第7名。属于web应用中计算机安全漏洞,是恶意的
liushaojiax·2024-01-30 07:49

SQL注入原理

2008年-2010年期间,SQL注入漏洞连续3年在OWASP年度十大漏洞排行中排名第一。SQL注入形成的原因就是:用户输入的数据被SQL解释器执行。
Enomothem·2024-01-27 12:26
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他