OWASP 第10页

jforum:badboy录制完成之后，转换成jmx,jmeter回放，由于OWASP_CSRFTOKEN变化而报错，如何屏蔽jforum的csrf_token校验？

、前言：在学习jmeter的时候，使用jforum作为实例，badboy录制，jmeter回放；总是在第二个post请求的时候，报404；jmeter中post请求选择的是跟随重定向方式；几经查看，是OWASP_CSRFTOKEN

冷凝娇·2020-09-13 05:13

简析web注入攻击

这种攻击方式是web安全的主要问题之一，在OWASPTop10web安全风险列表中排行第一。注入攻击，尤其是SQL注

zhaohong_bo·2020-09-13 04:05

Spring Cloud微服务安全实战_1-2_API安全第一个API及注入攻击防护

PS:OWASPTop10是针对开发人员和Web应用程序安全性的标准意识文档。它代表了对Web应用程序最严重的安全风险的广泛共识。注入攻击（inject

XDarker·2020-09-13 03:08

OSWAF 的JavaEE实现

软件waf实现开源标准oswaf协议:https://www.owasp.org/index.php/Category:OWASP_Stinger_Project基于javaEE实现oswaf：https

wnss8888·2020-09-12 21:43

Tomcat 又爆出高危漏洞！Tomcat 8.5 ～ 10 中招…

不要使用含有漏洞的组件每次也都被评为OWASP10大安全漏洞之一。

Java领域佼佼者·2020-09-12 15:18

如何绕过XSS防护

原文收集于OWASPXSS_Filter_Evasion_Cheat_Sheet正文：XSSJavaScriptinjection:multiplecontextsincludinghtml,scriptstring

晓镁·2020-09-11 16:52

条令考试小程序作弊_如何在应用程序安全方面作弊

OWASP

danpu0978·2020-09-11 08:03

app安全测试：OWASP ZAP 2.8 使用指南（四）：ZAP扫描移动应用安全

天蝎座的测试之旅·2020-09-11 03:54

常见的 Web 应用攻击

uid-7622-action-viewspace-itemid-848701仅仅转载了其中的一部分，详细的内容请参考原文即可在OWASP组织列举的十大Web应用安全隐患中，有两个概率最高的攻击手段，它们分别是

James_woo·2020-08-26 13:43

安全测试系列之—越权漏洞

越权漏洞原理越权访问（BrokenAccessControl，简称BAC）是Web应用程序中一种常见的漏洞，由于其存在范围广、危害大，被OWASP列为Web应用十大安全隐患的第二名。

Nicole_coder·2020-08-26 13:52

OWASP top 10 （2017）学习笔记--失效的访问控制

A5:2017失效的访问控制漏洞描述：未对通过身份验证的用户实施恰当的访问控制，攻击者可以利用这些缺陷访问未经授权的功能或数据。漏洞影响：技术影响是攻击者可以冒充用户、管理员或拥有特权的用户，或者创建、访问、更新或删除任何记录。业务影响取决于应用程序和数据的保护需求。检测场景：越权：横向越权、纵向越权文件操作：文件上传、文件包含、任意文件下载、任意文件删除预防思路：1、加强引用参数的封装、加密2、

aojiang1365·2020-08-25 16:05

OWASP TOP 10

TOP1-注入简单来说，注入往往是应用程序缺少对输入进行安全型检查所引起的，攻击者把一些包含指令的数据发送给解释器，解释器会把收到的数据转换成指令执行。常见的注入包括sql注入，--os-shell，LDAP（轻量目录访问协议），xpath（XPath即为XML路径语言，它是一种用来确定XML（标准通用标记语言的子集）文档中某部分位置的语言），HQL注入等。危害如下：注入可以导致数据丢失或被破坏，

a562449131·2020-08-25 16:56

XML防止XXE攻击

描述https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing解决方案：https://www.owasp.org/index.php

第三眼的思绪·2020-08-25 15:02

接口安全性测试技术(1)：OWASP Top Ten

OWASPTopTenOWASPTop10是一个面向开发人员和web应用程序安全性的标准意识文档。它代表了关于web应用程序最关键的安全风险的广泛共识。

szchuanshi·2020-08-25 10:57

靶机OWASPBWA下载及安装

靶机简介官网下载路径：https://sourceforge.net/projects/owaspbwa/files/百度云连接：链接：https://pan.baidu.com/s/1lwb0L_sG6

Sculptor-L·2020-08-25 08:39

OWASP ZAP基本使用教程(Kali版)

简介OWASPZAP是一款非常好用的测试工具，也是Kali里自带的工具，一键就可以扫描多种不同类型的漏洞，最好用的一点就是他可以自动爬取子域名。

weixin_43817670·2020-08-25 08:13

ZAP介绍

ZAP下载地址：https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_ProjectZAP中国：http://www.owasp.org.cn/BackTrack5R3

weixin_33772645·2020-08-25 08:17

Kali学习笔记26：OWASP_ZAP

文章的格式也许不是很好看，也没有什么合理的顺序完全是想到什么写一些什么，但各个方面都涵盖到了能耐下心看的朋友欢迎一起学习，大牛和杠精们请绕道OWASP_ZAP扫描器不同于之前介绍的Web扫描器：是一个更完善

weixin_30585437·2020-08-25 08:00

OWASP ZAP上手体验

新领到一个任务，试下OWASPZAP。工具说明ZAproxy是一个易于使用交互式的用于web应用程序漏洞挖掘的渗透测试工具，可以检测sql注入，跨站脚本，跨站请求伪造以及路径遍历等问题。

ch0wn·2020-08-25 08:51

漏洞扫描工具owasp-zap安装及使用

在以前的kali版本中是集成了owasp-zap工具的。但是在kali-linux-2019-W37-amd64.iso镜像中该工具不存在了。

a阿飞·2020-08-25 07:55

From SQL Injection To 0wnage Using SQLMap

SQLinjection–oneofthemostcriticalvulnerabilitiestillnow–isstillincludedintheOWASPTop10list’sInjectionflawssection.SQLMapisatoolthathelpspenetrationtestersprovethatSQLinjectionisonethemostcriticalvulne

mydriverc2·2020-08-25 07:47

靶机渗透测试实战 ——> peixun-server

192.168.85.1313、通过firefox浏览器访问peixun的80的端口；【思路】通过浏览网页信息，发现不是cms，是自己写的网站——>扫描工具、扫描目标，根据网页上的功能做测试点；可以针对服务进行攻击；4、用owasp-zap

weixin_45116657·2020-08-25 02:13

[PHP 安全] OWASP 维护的 PHP 安全配置速查表

文章转自：https://learnku.com/php/t/26973介绍这个页面的目的是为了帮助那些配置PHP和运行它的web服务器的人确保它的安全性。下面你将找到有关php.ini文件的正确配置信息。php.ini下面的一些设置需要适应你的系统，特别是session.save_path，session.cookie_path（例如：/var/www/mysite），和session.cook

summerblue·2020-08-24 15:22

PHP 项目中单独使用 Laravel Eloquent 查询语句来避免 SQL 注入

OWASP(OpenWebApplicationSecurityProject)是一个记录当前web应用所受威胁情况的项目。

summerblue·2020-08-24 15:23

2018-03-18-OWASP TOP 10--敏感信息暴露

3.敏感信息泄漏A:定义网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”所给出对应的安全防护方案。B:常见敏感信息泄漏场景1.URL未授权访问2.越权查看漏洞（水平越权和垂直越权）3.网页中的敏感信息被恶意爬取等C:防范措施:在处理返回用

最初的美好_kai·2020-08-24 05:53

Testing for SQL Injection

https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005)BriefSummaryASQLinjectionattackconsistsofinsertionor"injection"ofeitherapartialorcompleteSQLqueryviathedatainputortransmittedfro

kezhen·2020-08-23 22:28

OWASP Top 10 2017 rc1 中文翻译

**PDF版本报告下载链接:**http://pan.baidu.com/s/1bo9fs55密码:c296关于其他:http://bobao.360.cn/news/detail/4121.htmlPaste_Image.png

303Donatello·2020-08-22 21:50

OWASP Mantra渗透测试框架安装及使用

2019独角兽企业重金招聘Python工程师标准>>>OWASPMantra是由Mantra团队开发，面向渗透测试人员、Web开发人员和安全专业人员的安全工具套件(基于浏览器，目前是Chromium和Firefox

weixin_33762130·2020-08-22 19:01

WebGoat实验环境搭建 - 2016.01.01

1.1WebGoat简介Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台，这个平台里包含了web中常见的各种漏洞，例如：跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie

baishileily·2020-08-22 09:41

十年未变！安全，谁之责？（上）

在OWASP（OpenWebApplicationSecurityProject）2015年的年报中，SQL注入和跨站点脚本再次被列入Top10软件隐患。

OneAPM蓝海讯通·2020-08-22 09:50

2018-03-26-owasp top10 -使用含有已知漏洞的组件

1.原理大多数的开发团队并不会把及时更新组件和库当成他们的工作重心，更不关心组件和库的版本，因此攻击者可以探查发现组件、库的版本从而查找可能的攻击点。2.防范措施1.及时移除不必要的依赖、组件、功能、文档等。2.利用工具及时记录组件、库等版本信息，安全等级等、可考虑利用基线扫描软件来及时检测该部分信息。3.在保障业务正常进行的情况下，及时进行更新补丁操作，安装好相应的安全配置。

最初的美好_kai·2020-08-21 06:49

网站被黑的原因真实案例

本文归纳了OWASP组织提出的前十大网络漏洞，包括对每个问题的描述、真实案例以及如何修复它们。

weixin_33830216·2020-08-21 06:14

Kali Linux 安全工具 TOP10

KaliLinux安全工具TOP10一、Aircrack-ng二、BurpSuite三、Hydra四、John五、Maltego六、MetasploitFramework七、Nmap八、owaspzap

CNwanku·2020-08-21 02:49

解决新版本kali没有安装owasp-zap的问题

1.新版本kali没有owasp在CTF夺旗训练课程中，需要用到该软件，但新版kali并没有内置经过查询，贴吧有大佬说是因为该软件不更新了，所以被去除了，并给出了解决办法2.安装owaspapt-getinstallzaproxy

高冷的宅先生·2020-08-21 00:02

web安全————XSS(攻击篇）

OWASP(openwebapplicationsecurityproject开放式web应用程序安全项目）曾多次把XSS列在榜首，下面我们来了解它的基本原理以及如何有效、正确的防

雲下闲农·2020-08-21 00:14

OWASP——SQL注入（一）

前言对于OWASP发布的十大安全风险简单介绍在上一篇博文已经分享了，本文是对2013年发布的OWASPTop10中的A1注入部分进行分享学习。

lin_not_for_codes·2020-08-21 00:07

Vulhub vulnUni:1.0.1

知识点owasp-zap站点目录爬取sqlmap的使用文件上传主机发现netdiscover端口扫描nmap-A-T5192.168.80.36-oAnmap/nmapweb信息收集使用owasp-zap

hee_mee·2020-08-20 23:32

XXE漏洞研究分析

近期在做个基础的web常见漏洞的ppt，主要参考OWASPTOP102017RC2，此版本中增加了XXE攻击，所以自己简单的研究了下XXE攻击，做个笔记。

chenwan8737·2020-08-20 23:00

【渗透测试在线资源】

在线资源渗透测试资源MetasploitUnleashed-免费的metasploit教程PTES-渗透测试执行标准OWASP-开放式Web应用程序安全项目OSSTMM-开源安全测试方法手册Shell脚本资源

weixin_30919429·2020-08-19 21:09

OWASP Top 10 应用安全风险– 2017

A1–注入注入攻击漏洞，例如SQL，OS以及LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分，被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器，以执行计划外的命令或者在未被恰当授权时访问数据。A2–失效的身份认证和会话管理与身份认证和回话管理相关的应用程序功能往往得不到正确的实现，这就导致了攻击者攻击者破坏密码、密钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份（暂时

城上·2020-08-19 21:48

OWASP ZAP2.4.3使用指南（中文版）

OWASPZAP是一款开源的web安全工具，它简单易用，与burpsuite相似，主要功能包含了：代理、数据拦截修改、主动扫描、被动扫描、主动攻击、爬虫、fuzzing、渗透测试等。

疯流人物·2020-08-18 17:43

js加密大全(防止客户端查看自己的js文件)

http://blog.csdn.net/aosnowasp/article/details/4305431做网站最让人烦恼的是自己辛辛苦苦写出来的客户端IE运行的JAVASCRIPT代码常常被别人轻易的拷贝

手机安全·2020-08-18 16:00

web安全--文件包含实例操作

在owasp环境中可以在/etc/php5/cli/php/ini查看。同样进入owasp靶机的DVWA1.选择进入安全级别为low2.进入fileinclusion查看后端源码，该页面包含了一个in

u010625568·2020-08-18 03:04

《互联网时代安全测试面面观》奚望 TESTIN云测安全专家学习笔记

横向来比对安全测试类型无线电安全测试测试依据1、owasp-Top10-Web《信息技术-安全技术-信息技术安全性评估准则》等OWASP-Top10-lot《智能网联汽车信息安全评价测试技术规范（征求意见稿

百年渔翁_肯肯·2020-08-18 00:05

OWASP juice shop笔记（三）----二星题

BasketAccess要求我们往其他人的购物车里加入商品，想到用burpsuite抓包，点添加购物车后，抓包发现链接上有个/rest/basket/1，修改此处的1为其他数字。即可把商品加到他人购物车。 ChristmasSpecial要求我们订购一份2014年圣诞节的特殊商品，搜索网站发现并没有该商品。搜索处搜索’，发现搜索处也有sql报错，可看到完整的查询语句。发现ANDdeletedAtI

x1t02m·2020-08-17 17:05

OWASP juice shop笔记（二）----一星题

开始（写在前面：部分题参考了官方文档，需要的话请移步。）进入靶场首页没有任何提示，查看源代码，发现存在隐藏页面#/score-board，需要访问一次才会出现，访问该页面，记分板按钮就会一直显示在首页了。接下来我们按顺序解决这些题。AdminSection要求我们找到管理员页面，查看源码，在juice-shop.min.js这个文件里搜索admin可以发现名为/administration的页面，