OWASP 第11页

请不要忽略API的安全性

原文作者OleLensmar发表了一篇博文《PleaseStopIgnoringAPISecurity》，笔者对原文进行了摘译：6月初，OWASP更新了其十大安全漏洞列表，这也是自2010年至今首次更新

chenguangfu·2020-08-17 12:15

owaspbwa-DVWA-SQL盲注

文章目录环境搭建low级别黑盒测试代码分析medium源码分析high摘要本文通过对DVWA靶场的sql盲注漏洞进行黑盒测试与审计。先进行黑盒测试，然后代码审计，得出盲注漏洞的产生与防御原理。这个靶场有三个难度；low、medium、high。其中low和medium级别存在漏洞，而high级别通常修复了漏洞文章类型：图文结合环境搭建虚拟机：VMFusion11.5.6专业版，使用VMFusio

宝啦·2020-08-17 11:33

owaspbwa-DVWA-SQL注入+审计

文章目录环境low等级难度查看闭合方式查看字段数union查询库-表-字段medium查看闭合方式union查询库-表-字段源码分析high源码分析前言：DVWA靶场的sql注入有三个难度等级，通过黑盒注入结合代码审计的形式做一下这个靶场知识储备：需要有php、mysql的基础知识环境虚拟机：VMFusion11.5.0专业版使用VMFusion加载靶机的.ova文件，VM的虚拟机都是可以加载的。

宝啦·2020-08-17 11:33

kali linux中jar程序字体不清晰

2019独角兽企业重金招聘Python工程师标准>>>00x0情景kali安装后打开burpsuit或者owasp_zap等jar的java软件，显示的字体非常的小而且很大的锯齿根本无法看清，这让人情何以堪

weixin_33749242·2020-08-17 03:41

Metasploit渗透日记（一）

项目简介下载安装KaliLinux虚拟机下载安装OWASPBWA靶机镜像配置网络项目要求硬件要求：PC一台，配置可能要好一些（可选）路由器一个软件要求VMWareWorkstation/FusionKaliLinuxamd64

MMTMNO0o·2020-08-16 17:45

OWASP 2016亚洲峰会开幕在即，集中关注网络安全发展前沿

5月21日，由OWASP中国主办，SecZone承办的OWASP2016亚洲峰会将在武汉纽宾凯新时代国际酒店举行，来自国内外互联网安全领域的权威专家、专业人士近500人齐聚一堂，围绕“互联网+网络空间安全

weixin_33939380·2020-08-16 16:19

前端安全（XSS、CSRF防御）

一、网络安全OWASP：开放式Web应用程序安全项目（OWASP，OpenWebApplicationSecurityProject）OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究

weixin_30275415·2020-08-16 15:36

Metasploit实战之-SSH暴力破解过程

运行环境攻击机：KaliLinux靶机：OWASPBrokenWebApps环境搭建传送门：OWASPBrokenWebApps渗透测试环境

huwei0814·2020-08-16 12:13

27. 注入篇——代码注入

代码注入对于代码注入（Codeingection）OWASP将其定义为在客户端提交的代码在服务器端接收后当做动态代码或嵌入文件处理，而Wikipedia将其定义为客户端所提交的数据未经过检查就让web服务器去执行

FLy_鹏程万里·2020-08-16 11:51

Web服务组件简介

ChenJ ೄ೨·2020-08-16 10:00

网络安全-点击劫持（ClickJacking）的原理、攻击及防御

他们准备在OWASP安全大会上公布并进行演示，但是由于很多平台都中了招，包括Adobe在内的厂商要求在漏洞修补

lady_killer9·2020-08-15 20:35

Jenkins自动化发布前端代码VUE (配置模式)

Jenkins发布前端代码VUE(配置模式)Jenkins需要(常用)插件FoldersOWASPMarkupFormatterCredentialsBindingBuildTimeoutTimestamperWorkspaceCleanupNodeJSPipelinePipelineGitHubGroovyLibrariesPipelineStageViewGitGitLabSubversion

君丶梦寻·2020-08-15 11:34

2018黑帽大会工具清单-Blackhat

1、Android，iOS和移动黑客易受攻击的iOS应用程序：Swift版https://github.com/prateek147/DVIA-v22、代码评估OWASP依赖性检查https://github.com

oscarli·2020-08-15 07:03

阿里云Web应用防火墙价格表

基于云安全大数据能力实现，通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，过滤海量恶意访问，避免您的网站资产数据泄露，保障网站的安全与可用性

s3210474610·2020-08-14 14:16

OWASP之XXE（XML外部实体注入）

前提条件libxml2.9.1及以后，默认不解析外部实体。可使用phpinfo()查看libxml的版本信息。网址后加phpinfo.phpXML文档组成：xml声明，DTD部分，xml部分cross-domain-policy根节点，http://…dtd引用文件位置DTD（文档类型定义）为xml文档定义语义约束，内部声明，外部引用dtd用法参考内容：https://blog.csdn.net/

星辰大海0601·2020-08-14 14:21

web应用防火墙的作用和优势

可保护应用层免受攻击，包括OWASP前十大漏洞甚至零日威胁。IncapsulaWeb应用防火墙的优势：•针对所有威胁进行保护IncapsulaCDN是您网络应用的所有传入流量的网关。这使得它在

weixin_33941350·2020-08-14 01:54

Web应用防火墙-网站安全防护

可保护应用层免受攻击，包括OWASP前十大漏

weixin_33709590·2020-08-14 01:14

F5-WAF-12.0

虚拟机镜像软件包：f5bigipbasicsoftwaresecuritywaf服务优惠价:按服务商许可协议云服务器费用:查看费用立即部署产品详情产品介绍BIG-IP应用安全管理器（ASM）使组织能够防止OWASP

weixin_30664051·2020-08-14 00:11

OWASP Security Shepherd搭建

登陆虚拟机打开压缩包owaspSecurityShepherdVm_V3.0.zip里面的OwaspSecurityShepherdVMReadMe.txt文件，阅读虚拟机使用说明。

QUSIR·2020-08-13 18:33

业务安全漏洞挖掘归纳

业务安全漏洞挖掘归纳总结原文链接：https://www.secpulse.com/archives/34540.html#comment-47510x00索引说明6.30在OWASP的分享，关于业务安全的漏洞检测模型

Yzai·2020-08-11 18:34

Mixing Milk USACO

原文地址Sincemilkpackagingissuchalowmarginbusiness,itisimportanttokeepthepriceoftherawproduct(milk)aslowaspossible.HelpMerryMilkMakersgetthemilktheyneedinthecheapestpossiblemanner.TheMerryMilkMakerscompan

babyron·2020-08-10 09:53

DASP智能合约Top10漏洞

GitHub地址https://github.com/CryptoServices/dasp在了解智能合约Top10之前，我们简单说一下，OWASPTop10。

FLy_鹏程万里·2020-08-10 08:51

DirBuster下载

网盘下载要想熟悉目标网站的体系架构，知道网站有哪些目录是必不可少的向AWVS，Burp类大型扫描工具也可以进行目录扫描，不过个人感觉远没有专业扫描工具来的简单，实在DirBusterDirBuster是Owasp

weixin_30648963·2020-08-10 02:57

Web 安全恩仇录：漏洞原理

课程介绍本课程主要内容为Web常见漏洞分析，同时会介绍在各个阶段需要做什么事，该课程利用的攻防平台是KaliLinux以及一些Linux和Windows靶机，按照主次会依次介绍OWASP10的漏洞类型。

蔚1·2020-08-10 02:54

Web安全之SQL Inject

SQLInject(SQL注入)概述在owasp发布的top10排行榜里，注入漏洞一直是危害排名第一的漏洞，其中注入漏洞里面首当其冲的就是数据库注入漏洞。

墨尐丶小傲·2020-08-09 21:00

WEB安全基础入门与代码审计视频课程

基础篇-windowsdos命令及ad域控4、基础篇-网络基础上(路由器基本配置&ip地址规划&交换机基础)5、基础篇-网络基础下(路由基础&动态路由&ACL&NAT)6、基础篇-从bwapp学习了解owasptop107

anquanlong·2020-08-09 17:54

Kali Linux Web 渗透测试秘籍第十章 OWASP Top 10 的预防

第十章OWASPTop10的预防作者：GilbertoNajera-Gutierrez译者：飞龙协议：CCBY-NC-SA4.0简介每个渗透测试的目标都是识别应用、服务器或网络中的可能缺陷，它们能够让攻击者有机会获得敏感系统的信息或访问权限

布客飞龙·2020-08-09 15:06

利用FRIDA攻击Android应用程序（三）

利用FRIDA攻击Android应用程序（三）前言在我的有关frida的第二篇博客发布不久之后，@muellerberndt决定发布另一个OWASPAndroidcrackme，我很想知道是否可以再次用

weixin_34032792·2020-08-09 14:39

6-2CTF夺旗入门教程--SQL注入POST参数-注入HTTP报文

扫描主机开放的全部端口nmap-T4-p-192.168.2.117#扫描靶场全部信息nmap-T4-A-v192.168.2.117#探测敏感信息nikto-hosthttp://dirbhttp://#漏洞扫描owasp2

高冷的宅先生·2020-08-09 09:47

ASP.NET MVC涉及到的5个同步与异步，你是否傻傻分不清楚？[上篇]

[本文已经同步到《HowASP.NETMVCWorks?》中]目录一、MvcHandler的同步于异步二、Controller的同步与异步三、ActionInvok

weixin_34342578·2020-08-09 00:36

XSS（跨站脚本攻击）的最全总结

从OWASP的官网意译过来，加上自己的理解，算是比较全面的介绍。有兴趣的可私下交流。

weixin_30883311·2020-08-09 00:05

怎么用c#编写浏览器或者执行javascript代码？

OWASP-Xenotix-XSS-Exploit-Framework-mast

BabyKylin·2020-08-08 22:03

kali:OWASP DVWA Vulnerability: Brute Force 暴力破解的具体实现

首先给出正确的暴力破解命令：hydra-ladmin-P/usr/share/wordlists/metasploit/password.lst10.10.10.143http-get-form"/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login#:Usernameand/orpasswordincorr

花纵酒·2020-08-08 17:15

ASP.NET MVC涉及到的5个同步与异步二

[本文已经同步到《HowASP.NETMVCWorks?》中]目录一、MvcHandler的同步于异步二、Controller的同步与异步三、ActionInvok

linybo2008·2020-08-08 17:25

我的CTF学习与教学之旅笔记6

注入之post：nmap-A-T4-v靶场IP地址对web'站点扫描一定要dirb、nikto相结合，查找信息没特别是一些登录界面如：loginadmin等界面80端口可用的东西：phpadmin利用owasp-zap

花纵酒·2020-08-08 11:55

webgoat学习笔记——General

这个部分需要用到WebScarab插件，此插件需要设置代理,HTTP代理：localhost，端口：8008，原先我是在win7系统上装的webgoat，这就需要在浏览器中设置代理，现在我在虚拟机中安装了owasp

weixin_33698043·2020-08-08 00:18

ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

不定时更新翻译系列，此系列更新毫无时间规律，文笔菜翻译菜求各位看官老爷们轻喷，如觉得我翻译有问题请挪步原博客地址本博文翻译自：https://dotnetcoretutorials.com/2017/10/25/owasp-top

weixin_30781775·2020-08-08 00:13

Pikachu-XSS

一般XSS可以分为如下几种常见类型：1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞，在OWASPTOP10的排名中一直属于前三的江湖地位。

baynk·2020-08-08 00:51

点击劫持解决方法

这是一个下载SAPI(TheOWASPEnterpriseSecurityAPI)包解决的简单方法：1、esapi-2.1.0.1.jar，下载地址：https://www.owasp.org。

chengcm·2020-08-07 23:50

PiKachu之XSS（跨站脚本）

一般XSS可以分为如下几种常见类型：1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞，在OWASPTOP10的排名中一直属于前三的江湖地位。

angry_program·2020-08-07 23:34

WebGoat学习笔记二---AJAX Security

lLAB:DOM-Basedcross-sitescripting题目叫我们用WebGoat/images/logos/owasp.jpg图片来污染网页可以看到当我们在文本框中出入字符后网页会立即显示输入的字符

aasyk2love·2020-08-07 23:51

owasp区块链安全 TOP 2019

一、高级可持续威胁1.风险描述高级可持续威胁类问题往往出现在区块链领域的中心化团队上，比如：交易所、钱包、矿池等。由于这些区块链团队在基础设施安全建设和安全运营上的欠缺，导致基础设施存在安全漏洞，从而被攻击者利用，实施数字货币的盗窃或者破坏。2.危害描述高级可持续威胁会导致区块链系统被入侵，权限被控制，最终导致资金被盗取，敏感数据被泄露等系列严重问题。在2008-2018年间，就共有37起高级可持

番茄庄园·2020-08-07 18:49

Web安全-Sql注入

作为注入（Injection）的一种，常年占据OwaspTop10榜首。

小白安全·2020-08-07 14:58

Web安全-CSRF

OWASPTop102013、2017都收录了这个漏洞。原理简单来说就是：用户登录了某银行站点，浏览信息。然后被某某广告吸引，点开了另一个站点（恶意站点）。

小白安全·2020-08-07 14:27

OWASP-2017-A1注入类

其实OWASP所定义的A1注入类是狭义的定义，因为考虑到某些注入类漏洞的特殊性和独立性，将其划为其他类漏洞。广义上来说2017版本定义的A4-XXE（XML外部实体注入）、A8-反序列化（代码注入

silencediors·2020-08-05 20:04

owasp-A?-权限

owasp13和17对于权限类漏洞有过一次整合，所以不按照他的套路来，自己说说。从权限本身的缺陷来说，无非就3类，未授权，水平越权，垂直越权。

silencediors·2020-08-05 20:33

OWASP-前言

为啥要写OWASP这个组织成员大多都是应用层安全的大佬，所以提出的很多应用层安全体系都被封为业内的标准。