owasp

01.01 介绍

OWASP:开放式web应用程序安全项目(top1注入漏洞)非营利组织,不附属于任何企业或财团。-----------安全行业常用术语-
ArimaKousei·2019-09-16 09:00

OWASP TOP 10(OWASP十大应用安全风险)

TOP1-注入当不受信任的数据作为命令或查询的一部分发送到解释器时,会发生注入漏洞,例如SQL,NoSQL,OS,LDAP注入(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言),HQL注入等。危害如下:注入可以导致数据丢失或被破坏,缺乏可审计性或拒绝服务。注入漏洞有时甚至可导致完全接管主机。如何防范:1.使用安全
幸运的大E·2019-09-14 15:00

OWASP TOP 10总结

原文链接:https://www.cnblogs.com/cn-36/p/6723536.htmlTOP1-注入简单来说,注入往往是应用程序缺少对输入进行安全型检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见的注入包括sql注入,–os-shell,LDAP(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用
cnds_li·2019-09-06 11:53

Web安全性测试实践

账号的密码命令注入攻击CSRF(跨站请求伪造)攻击验证码漏洞攻击验证码漏洞攻击之短信轰炸文件包含漏洞攻击文件上传漏洞攻击SQL注入攻击XSS跨站攻击DWVA介绍DVWA是国外大牛写的一个漏洞测试平台,类似于OWASP
测试虾·2019-09-01 10:05

java 防止 XSS 攻击

经过研究,本项目使用https://github.com/OWASP/java-html-sanitizer清理所有包含html标记的字段,这些字段可以防止xss攻击。
维馨梦之恋·2019-08-28 15:33

致橡树ToTheOak

Iwon'twinduponyoulikeatrumpetcreeper借你的高枝炫耀自己;upvaluemyselfbyyourheight我如果爱你——IfIloveyou绝不学痴情的鸟儿,Iwillneverfollowaspoonybird
荷_e3d0·2019-08-14 22:46

sql注入原理及基本认识

引言:作为长期占据OWASPTop10首位的注入,至于什么是OWASP可以参考一下百度百科OWASPSQL注入简介:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串
YWBOY·2019-08-08 15:01

WEB安全扫盲公开课---学习笔记(一)

=s_pcqq_aiomsg第1讲http常见的请求方法:GETPOSTPUTCOPYDELETEOPTIONShttp状态码web安全五层模型第2讲网络拓扑图第3讲phpstudypython第4讲OWASPTOP10http
家住海边就爱浪吖·2019-08-07 10:36

vulstudy

目前vulstudy包含以下漏洞学习平台:序号漏洞平台包含漏洞作者语言1DVWA综合未知php2bWAPP综合未知php3sqli-labsSQL注入Audiphp4mutillidae综合OWASPphp5BodgeIt
dyan_0·2019-08-05 20:00

xss文件上传命令执行

什么是XSSXSS又叫CSS(CrosssiteScripting)跨站脚本工具,常见的WEB漏洞之一,再2013年度OWASPTOP10中排名第三XSS是指***者再网页中嵌入客户端脚本,通常是JS恶意代码
大屁孩儿·2019-08-03 12:22

OWASP)区块链安全TOP10

OWASP项目区块链安全TOP10项目组长:付山阳项目组成员:KevinGu、候欣杰、王颉(排名不分先后,按姓氏拼音排列)RC1文档下载:区块链安全TOP102019_RC1近几年,区块链技术的发展非常迅猛
大圣2017·2019-07-26 15:10

OWASP)区块链安全TOP10

OWASP项目区块链安全TOP10项目组长:付山阳项目组成员:KevinGu、候欣杰、王颉(排名不分先后,按姓氏拼音排列)RC1文档下载:区块链安全TOP102019_RC1近几年,区块链技术的发展非常迅猛
大圣2017·2019-07-26 15:10

利用OWASP Benchmark V1.2基准对国内静态检测工具的测评分析

最近笔者接触了CoBOT源代码缺陷检测工具,想验证一下该工具的检测效果,于是下载了OWASPBenchmark1.2基准测评项目,通过CoBOT官网联系试用工具,看看这款工具到底如何。
manok·2019-07-21 16:06

WAF绕过技术系列文章(一)

在Web应用中,发现远程命令执行漏洞并不罕见,在2017年,OWASP前10位的安全威胁中,注入位于第一:注入漏洞,例如SQL、NoSQL、OS和LDAP注入,一般发生在服务器执行命令或查询时,因有不可控的数据掺杂其中
CanMeng·2019-07-21 10:15

XXE修复方案参考

//DOMReadXMLDocumentBuilderFactorydbf=DocumentBuilderFactory.newInstance();/*以下为修复代码*///https://www.owasp.org
oscarli·2019-07-05 14:03

WebApp 安全风险与防护课堂(第二讲)开课了!

Carl(陈庆)把原定第二讲的大部分也一并献出了,所以原定三场的公开课也变为了两场,本系列的公开课生动有趣、干货满满、受众广泛,所以没有参与上次课程的小伙伴们这次请不要忘记了,本期公开课,我们将着重介绍OWASP
powertoolsteam·2019-06-27 16:31

WebApp 安全风险与防护课堂(第二讲)开课了!

Carl(陈庆)把原定第二讲的大部分也一并献出了,所以原定三场的公开课也变为了两场,本系列的公开课生动有趣、干货满满、受众广泛,所以没有参与上次课程的小伙伴们这次请不要忘记了,本期公开课,我们将着重介绍OWASP
powertoolsteam·2019-06-27 16:28

WebApp 安全风险与防护课堂(第二讲)开课了!

Carl(陈庆)把原定第二讲的大部分也一并献出了,所以原定三场的公开课也变为了两场,本系列的公开课生动有趣、干货满满、受众广泛,所以没有参与上次课程的小伙伴们这次请不要忘记了,本期公开课,我们将着重介绍OWASP
powertoolsteam·2019-06-27 16:58

WebApp 安全风险与防护课堂(第二讲)开课了!

Carl(陈庆)把原定第二讲的大部分也一并献出了,所以原定三场的公开课也变为了两场,本系列的公开课生动有趣、干货满满、受众广泛,所以没有参与上次课程的小伙伴们这次请不要忘记了,本期公开课,我们将着重介绍OWASP
葡萄城技术团队·2019-06-27 16:00

OWASP TOP 10漏洞及防范

A1注入InjectionWeb安全头号大敌。注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入漏洞通常能SQL查询、LDAP查询、OS命令、程序参数等中出现。SQL注入实例防范:1.使用安全的API,避免使用解释器或提供参数化的接口(preparedstat
一个本科生的孤独·2019-06-19 15:15

预防SQL注入笔记

本文参考自owasp,重点是提供清晰,简单,可操作的指导,以防止应用程序中的SQL注入漏洞。
秃桔子·2019-06-18 15:00

如何绕过 Web 应用程序防火墙(WAF)?

在Web应用程序中发现远程命令执行漏洞并不罕见,「OWASPTop102017」榜单中,把“注入”放在第一位,就可见一斑:当攻击者把作为命令或查询的不可信数据发送给解释器时,会产生注入漏洞,如SQL,NoSQL
Coisini、·2019-06-11 14:04

CSS Injection

注入大家对XSS攻击都非常熟悉了,可能很少关注到CSS注入攻击,以下行为有可能受到CSS注入攻击:从用户提供的URL中引入CSS文件CSS代码中采用了用户的输入数据可以看下以下两个例子https://www.owasp.org
felix·2019-06-09 00:00

OWASP靶机搭建

owasp靶机应该是每个渗透入门乃至一些高手的一个试炼地之一,以下是我在靶机上搭建虚拟的方法。1.虚拟机安装在这里我用的是VMware14,靶机自然也是VM的。
乾巽爻·2019-05-26 21:21

Exp9 Web安全基础 20165110

二、实验具体步骤前期准备1.安装WebGoatWebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。
小orangegood·2019-05-26 20:00

2018-2019-2 20165236《网络对抗技术》Exp9 Web安全基础

实验步骤一、WebGoat准备工作:WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平
20165236郭金涛·2019-05-25 22:00

2018-2019-2 网络对抗技术 20165231 Exp9 Web安全基础

实验过程WebGoat:Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie
Yhooyon·2019-05-25 15:00

【物联网】物联网安全---编辑中

解读2018OWASPTOP10物联网安全漏洞【51CTO.com快译】从物联网这一个概念诞生之日起,安全问题就一直是物联网发展的关键所在。
bandaoyu·2019-05-21 14:23

水平越权访问与垂直越权访问漏洞

水平越权访问与垂直越权访问漏洞越权访问漏洞越权访问(BrokenAccessControl,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名
haha13l4·2019-05-20 22:28

OWASP_ZAP

OWASP_ZPA支持截断代理,主动、被动扫描,Fuzzy,暴力破解并且提供API。OWASP_ZPA是KaliWebTop10之一。
DirtyMind·2019-05-09 00:00

WebGoat 8.0 M21失传几关的答案在这里

原文:https://www.freebuf.com/vuls/177923.html最近在研究OWASPWebGoat8.0,鲜鲜实验室有一篇文章特别好,从安装到攻略都有(传送)。
breezeO_o·2019-04-25 16:35

WebGoat 8.0 M21失传几关的答案在这里

原文:https://www.freebuf.com/vuls/177923.html最近在研究OWASPWebGoat8.0,鲜鲜实验室有一篇文章特别好,从安装到攻略都有(传送)。
breezeO_o·2019-04-25 16:35

浅谈web安全——XSS攻击

跨站脚本攻击(XSS)跨站脚本攻击(XSS)是客户端脚本安全的头号大敌,OWASPTOP10威胁多次把XSS列为榜首。XSS即(CrossSiteScripting)中文名称为“跨站脚本攻击”。
夏天wx:a1024271896·2019-04-16 13:45

白帽子进阶之Burpsuite教程

BurpSuiteOWASPZapKaliLinux(教程来源B站,希望B站越来越强大)Linux环境下Burpsuite教程https://www.bilibili.com/video/av18828728Window
44749105·2019-04-11 21:08

[PHP 安全] OWASP 维护的 PHP 安全配置速查表

文章转自:https://learnku.com/php/t/26973介绍这个页面的目的是为了帮助那些配置PHP和运行它的web服务器的人确保它的安全性。下面你将找到有关php.ini文件的正确配置信息。php.ini下面的一些设置需要适应你的系统,特别是session.save_path,session.cookie_path(例如:/var/www/mysite),和session.cook
Charlie_Jade·2019-04-10 00:00

WebGoat——Ajax安全(二)

一、OWASPTOP10(2017)关于XSS(跨站脚本)的描述XSS漏洞发生在当应用程序发送给浏览器的页面中包含用户提供的数据,而这些数据没有经过适当的验证或转义(escape)或者没有使用安全的JavaScriptAPI
lay_loge·2019-04-03 10:35

Kali中常用的代理工具以及使用

Preference->NetWorkProxy->Setting->Manualproxyconfiguration->设置代理的IP地址以及端口QWASPZAP功能介绍QWASPZAP功能使用启动owaspzap
铿锵的玫瑰·2019-04-01 08:47

使用sqlmap对OWASP靶机进行sql注入练习操作实例展示

前置条件靶机:OWASP_Broken_Web_Apps_VM_0.94靶机IP:192.168.88.138初始密码是:root/owaspbwakali安装的镜像为:kali-linux-2019.1a-amd64
坏蛋是我·2019-03-30 18:45

使用wmap扫描指定网站并获取网站漏洞信息

前置条件靶机:OWASP_Broken_Web_Apps_VM_0.94靶机IP:192.168.88.138初始密码是:root/owaspbwakali安装的镜像为:kali-linux-2019.1a-amd64
坏蛋是我·2019-03-30 18:12

WVS与Arachni漏扫工具对比实验

实验工具及靶机Windows系统下的WVS10.5版本漏洞扫面工具;LinuxKali系统下的arachni-1.5.1-0.5.12版本漏洞扫描工具;OWASPBrokenWebAppsVMv1.2靶机
怦然心动、·2019-03-30 12:56

PHP 项目中单独使用 Laravel Eloquent 查询语句来避免 SQL 注入

fileOWASP(OpenWebApplicationSecurityProject)是一个记录当前web应用所受威胁情况的项目。
summerbluet·2019-03-25 10:46

PHP 项目中单独使用 Laravel Eloquent 查询语句来避免 SQL 注入

OWASP(OpenWebApplicationSecurityProject)是一个记录当前web应用所受威胁情况的项目。
Charlie_Jade·2019-03-25 00:00

2019-02-20 记录一些常用安全工具

Wappalyzer(chrome插件),(在线SSL加密分析)https://www.ssllabs.com/ssltest/,(搜索引擎)www.shodan.iokaliliunx环境:Nessus,nikto,owasp-zap
昨天今天下雨天1·2019-03-05 12:30

OWASP-安装

0xx1安装下载https://sourceforge.net/projects/owaspbwa/files/选择合适的版本下载下载完成后解压缩,然后用VMware虚拟机打开即可0xx2使用OWASPBrokenWebApplicationsProject
小英雄宋人头·2019-03-05 10:48

VMware的NAT模式获取不到ip地址-解决方法

NAT模式时获取不到IP地址现象:首次安装owasp虚拟机正常获取到ip地址,挂起之后,第二次运行,获取不到ip地址。
请输入眤称·2019-03-04 21:14

OWASP TOP 10 -- 2017

#00x1–注入将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入,NoSQL注入,OS注入和LDAP注入的注入缺陷.攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据.产生原因:用户提供的数据没有经过应用程序的验证,过滤或净化.动态查询语句或非参数化的调用,在没有上下文感知转义的情况下,被用于解释器.如何解决:添加验证,过滤用户提供的数据对动态查
小英雄宋人头·2019-02-12 09:03

安全扫描工具-appscan

这些安全漏洞大多包括在OWASP(OpenWebAppli
有一只蚂蚁·2019-02-01 11:35

开源漏洞扫描工具(OWASP-Dependency-Check)探索

这样依赖性扫描工具(OWASP-Dependency-Check)就进入了我们的视线,既符合我们当前的需求又使用方便简单,自然而然的成为了我们
chihujiang3132·2019-01-31 17:00

【WAF技巧拓展】————4、web应用防火墙逃逸技术(一)

前记在Web应用程序中发现远程命令执行漏洞并不罕见,并且”注入”被公认为”2017OWASPTop10”之首,当不可信数据作为命令或查询的一部分发送给解释器时,会发生注入漏洞:如SQL,NoSQL,OS
FLy_鹏程万里·2019-01-26 22:11

ESAPI

ESAPI是owasp提供的一套API级别的web应用解决方案。
chs007chs·2019-01-25 14:12
上一页 15 16 17 18 19 20 21 22 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他