owasp

OWASP ZAP使用说明

介绍OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。
pilisiyang·2023-01-28 21:57

在Gradle中添加Dependency Check,以及在Sonar中查看报告

由于是使用Gradle作为依赖构建工具,以及kotlin作为开发语言,所以选择了owaspdependencycheck的Gradle插件的方式。最后需要将报告上传到sonar进行展示。
oh_roy·2023-01-27 03:21

dvwa靶机--文件包含+一句话木马-- 中国菜刀连接

shell代码2.寻找文件上传漏洞并上传靶机上文件上传漏洞上传3.文件包含页面执行文件包含并生成后门复制图片地址,当包含漏洞点包含此图片地址时,会在目录下生成shell.php后门文件执行文件包含生成后门文件owaspbwa
ULSI·2023-01-26 06:15

OWASP TOP 10 漏洞简述

TOP1-注入简单来说,注入往往是应用程序缺少对输入进行安全型检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见的注入包括sql注入,–os-shell,LDAP(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言),HQL注入等。危害如下:注入可以导致数据丢失或被破坏,缺
一青一柠·2023-01-19 18:16

OWASP移动审计 - Android APK 恶意软件分析应用程序

MobileAudit-针对Android移动APK的SAST和恶意软件分析MobileAudit不仅关注安全测试和防御用例,该项目的目标是成为AndroidAPK的完整认证,其中包括:静态分析(SAST):它将执行APK的完整反编译并提取它的所有可能信息。它报告了按不同类别分组的源代码中的不同漏洞和发现。此外,它完全支持查找分类(更改状态和重要性)。恶意软件分析:发现危险权限和可疑代码。安全An
晓川吖·2023-01-16 12:06

老卫带你学---OWASP TOP 10(OWASP十大应用安全风险)

老卫带你学—OWASPTOP10(OWASP十大应用安全风险)TOP1-注入当不受信任的数据作为命令或查询的一部分发送到解释器时,会发生注入漏洞,例如SQL,NoSQL,OS,LDAP注入(轻量目录访问协议
老卫带你学·2023-01-13 19:03

网址十大风险 mysql_OWASP TOP10 Web应用十大安全风险_2017

A1-Injection注入介绍:简单来说注入往往是程序缺少对输入进行安全性检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的指令转换成指令执行。常见的注入包括SQL注入、OSShell、LDAP、Xpath、Hibernate等等,其中SQL注入尤为常见。这种攻击造成的后果往往很大,一般整个数据库的信息都能被读取或篡改,通过SQL注入攻击者甚至能获得更多的包括管理员的权限。危
三火小哥哥·2023-01-13 19:02

代码安全 | 什么是OWASPOWASP十大漏洞解析

OWASPOWASP十大漏洞有助于保护您的代码免受软件安全漏洞的影响。在这里,我们将分别阐述OWASP的介绍内容以及OWASP十大漏洞的详细内容。
龙智—DevOps解决方案·2023-01-13 19:02

网址十大风险 mysql_ASP.NET Core中的OWASP Top 10 十大风险-SQL注入

不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址OWASP或者说是开放Web应用程序安全项目,这是一个非营利性的组织,其目的是促进安全的web
its斯弟文·2023-01-13 19:32

owasp十大_OWASP十大安全风险的三点替代方案

owasp十大Forthosewhodon’tknow,theOWASPTopTenisalistofcommon(web)applicationsecurityconcernsthatarefrequentlyreferencedwithintheinfoseccommunity.Ifyou
weixin_26722031·2023-01-13 19:02

OWASP Top 10 应用安全风险– 2017

1,注入:将不受信任的数据作为作为命令或查询的一部分发送到解析器时,会产生注入SQL注入,OS注入和LDPA注入的注入缺陷,攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据;2,失效的身份认证和会话管理:通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码,密钥或会话令牌,或者利用其他开发中的缺陷来冒充其他用户的身份;3,敏感数据泄露:许多w我们需要e
努力让自己更优秀·2023-01-13 19:02

OWASP top10(OWASP十大应用安全风险)之A1 注入 (Injection)

OWASPTOP10简介OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web应用程序安全风险列表
qq_39682037·2023-01-13 19:00

OWASP top10(OWASP十大应用安全风险)之A3 敏感数据暴露(Sensitive Data Exposure)

TOP3敏感数据暴露(SensitiveDataExposure)敏感数据公开是OWASP列表上最普遍的漏洞之一。它包括损害应该受到保护的数据。
qq_39682037·2023-01-13 19:00

OWASP top10(OWASP十大应用安全风险)之A7 跨站脚本(XSS)

TOP7跨站脚本(XSS)跨站点脚本(XSS)是一个广泛存在的漏洞,会影响许多Web应用程序。XSS攻击包括将恶意的客户端脚本注入网站,并将该网站用作传播方法。XSS背后的风险在于,它允许攻击者将内容注入网站并修改其显示方式,从而迫使受害者的浏览器在加载页面时执行攻击者提供的代码。XSS存在于所有应用程序的三分之二中。通常,XSS漏洞要求用户通过社交工程或通过访问特定页面来触发某种类型的交互。如果
qq_39682037·2023-01-13 19:00

owasp十大web漏洞_OWASP的十大Web应用程序安全风险

owasp十大web漏洞开放Web应用程序安全性项目(OWASP)是一个全球性的非营利慈善组织,致力于改善软件的安全性。
danpu0978·2023-01-13 19:58

OWASP TOP 10(OWASP十大应用安全风险)

TOP1-注入当不受信任的数据作为命令或查询的一部分发送到解释器时,会发生注入漏洞,例如SQL,NoSQL,OS,LDAP注入(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言),HQL注入等。危害如下:注入可以导致数据丢失或被破坏,缺乏可审计性或拒绝服务。注入漏洞有时甚至可导致完全接管主机。如何防范:1.使用安全
dianjigen7714·2023-01-13 19:58

OWASP TOP 10(2021)之注入漏洞(SQL注入和XSS注入)

目录一、SQL注入1.漏洞概述及原理2.漏洞可能造成的危害3.漏洞防范4.SQL注入的分类与检测5.从攻击者的角度,如何绕过SQL注入防范呢?(1)对于关键字的绕过(2)缓冲区溢出二、XSS攻击1.漏洞概述及原理2.XSS攻击分类和检测3.漏洞可能造成的危害4.漏洞防范5.从攻击者的角度,如何绕过防范呢?6.从黑客角度,如何利用漏洞进行攻击,不同类型的XSS漏洞利用方式上有何区别?三、参考OWAS
awbzda·2023-01-13 19:58

owasp十大安全漏洞_OWASP十大漏洞

owasp十大安全漏洞OWASP免费试用AppScanStandardIBMSecurityAppScanStandard可帮助您检测和纠正OWASP前10名列表中发现的许多类型的安全问题。
cuyi7076·2023-01-13 19:58

【网络安全】OWASP 十大网站安全风险 (一): 注入攻击

OWASP是openwebapplicationsecurityproject的缩写。这个系列主要介绍这十个最多被攻击的安全漏洞。
baidu_jingjing·2023-01-13 19:28

OWASPTop10安全风险与防护

可是要正确的实现这些方案倒本章目的普及OWASPTOP10包含的内容、每种Web应用所面临的安全风险及其所应采取的安全策略OWASPTop10简介OWASP(OpenWebApplicationSecurityProject
告诉桃花不用开了·2023-01-13 19:27

OWASP 十大网站安全风险 (一): 注入攻击

OWASP是openwebapplicationsecurityproject的缩写。这个系列主要介绍这十个最多被攻击的安全漏洞。
Jinmindong·2023-01-13 19:26

渗透测试-红/蓝队Hvv技术手册/面试

DATA=AjAxNg==同源策略owaspTOP10都有什么/修复
amingMM·2023-01-12 12:31

工具----8、Xray漏洞扫描器

大至OWASPTop10通用漏洞检测,小至各种CMS框架POC,均可以支持。3、代码质量高。编写代码的人员素质高,通过CodeReview、单元测试、集成测试等多层验证来提高代码可靠
七天啊·2023-01-07 07:54

阿里云团队漏洞托管、渗透测试、攻防演练

安全测试覆盖的范围包括OWASPTOP10,以及一些常见的安全风险,如业务逻辑、服务配置、敏感信息泄露、权限控制不当、请求伪造
魔都性能自动化AuricChan·2023-01-04 10:06

API滥用是一个持续关注的数据安全问题

普遍的API风险2019年,OWASP公布了10个需要注意的Web应用数据安全风险。包括:数据暴露:当开发人员公开其对象的所有属性而不考虑这些项目的私密程度的情况下,
lavin1614·2022-12-28 06:58

安全编码实践:什么是安全编码标准?

CWEandCWETop25CERTCVENVDDISASTIGOWASPandOWASPTop10
Trinitytec·2022-12-27 14:14

2022各大厂商护网面试题

安恒信息蓝队初级面试题一.owasptop10(2021年版本)1.访问控制崩溃风险描述:攻击者可通过修改URL,HTML页面绕过访问控制检查;或目录遍历,目录爬升和回溯进行未授权访问;越权访问(垂直越权
网小白白·2022-12-27 14:27

Web漏洞靶场搭建(OWASP Benchmark)

#[]()Web漏洞靶场搭建(OWASPBenchmark)渗透测试切记纸上谈兵,学习渗透测试知识的过程中,我们通常需要一个包含漏洞的测试环境来进行训练。
是怼怼呀11·2022-12-20 13:56

Web漏洞靶场搭建

前言OWASP,全称是:OpenWebApplicationSecurityProject,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因
刚子116·2022-12-19 12:53

OWASP列举的Web应用程序十大安全漏洞 - 失效的身份认证和会话管理

失效的身份认证和会话管理1、原理身份认证:最常见的是登录功能,往往是提交用户名和密码,在安全性要求更高的情况下,有防止密码暴力破解的验证码,基于客户端的证书,物理口令卡等等。会话管理:HTTP本身是无状态的,利用会话管理机制来实现连接识别。身份认证的结果往往是获得一个令牌,通常放在cookie中,之后对用户身份的识别根据这个授权的令牌进行识别,而不需要每次都要登陆。2、典型案例案例1:机票预订应用
Survivor001·2022-12-15 12:11

python将DataFrame存入parquet文件中

代码importpandasaspdimportpyarrow.parquetaspqimportpyarrowaspaout_file='test.parquet'array=[1,2,3,4]df=
程序猿-张益达·2022-12-14 08:37

Pipy:保护 Kubernetes 上的应用程序免受 SQL 注入和 XSS 攻击

注入攻击在OWASPWeb应用10大安全风险[1]排名2021年下滑至第3位,多年来一直位居前十。SQL注入(SQLi)是一种用于攻击网站和Web应用程序的常见注入技术。
dotNET跨平台·2022-12-06 22:33

科学家打造全套人工神经系统 帮助瘫痪病人重新控制身体

Photo:NathanielWelch来源:IEEE电气电子工程师MotionRestored:LukeTynan,whowasparalyzedin2017byaspinalcordinjury,demonstratesthewearablesystemthatenableshimtocontrolhisarmandhand.Sensorsonthearmregisterhisintentio
人工智能学家·2022-12-05 19:57

漏洞防范:搭建漏洞靶场DVWA,DVWA之SQL注入漏洞,利用sqlmap把复杂的程序自动化

SQL[结构化查询]:是语言用来操控数据库1.搭建DVWA漏洞靶场(DVWA是OWASP官方编写的PHP网站,包含了各种网站常见的漏洞供大家学习.)(1)PHP环境w:windowsa:ApacheApache
一米耕耘·2022-11-29 15:38

Xray安全评估工具使用

大至OWASPTop10通用漏洞检测,小至各种CMS框架POC,均可以支持。高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。安全无威胁。
xzajyjs·2022-11-29 03:54

基于TADK的SQLI检测

基于TADK的SQLI检测根据开放web应用安全项目(OWASP)的统计,SQL注入(SQLinjection,SQLI)是web应用程序排名第一的威胁。
weixin_37097605·2022-11-28 22:32

xss_waf绕过

OWASP的这篇速查表虽然时间比较久了,但还在更新,所以还是翻译出来了。翻译完发现里面还是有一些值得
Mamba start·2022-11-26 19:04

kali对常见端口的漏洞破解收录

1.web应用漏洞扫描1).Owasp-zap(扫描漏洞)2).nikto(漏洞扫描)nikto+host+"destip"3).sqlmap(sql注入)2.TCP漏洞利用1).使用Nmap进行端口扫描
a_ittle_pan·2022-11-26 03:35

【每天学习一点新知识】OWSAP TOP10

OWASPOWASP开放式Web应用程序安全项目(openwebapplicationsecurityproject)每年会通过确定企业面临的最严重的10类威胁,以此提高人们对Web应用程序安全的关注度
RexHarrr·2022-11-24 00:56

OWASP TOP 10 2017版本

pdf原文地址:http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf1、前言不安全的软件正在破坏着我们的金融、医疗、国防、能源和其他重要的基础设施
安全大哥·2022-11-24 00:40

LDAP Injection Prevention-用Encoder.LdapFilterEncode及Encoder.LdapDistinguishedNameEncode

LDAPInjectionPrevention-《OWASPCheatSheetSeriesProjectv2.0》:.NETAntiXSS(以下的Encoderclass)的如下LDAPencoding
carcarrot·2022-11-24 00:28

生命在于学习——业务逻辑漏洞

逻辑漏洞还是一种虽然没有在owasptop10中提及到,但是往往会存在的漏洞,并且在hvv,渗透测试中广泛存在,造成的破坏可能一点不比sql注入,xss等漏洞小,如下是逻辑漏洞的top10挖掘方向。
易水哲·2022-11-09 11:09

漏洞扫描介绍

漏洞扫描介绍漏洞定义漏洞扫描定义漏洞数据库2017OWASPTOP10CNVD京东SRC漏洞定义漏洞:对系统安全性造成影响的缺陷漏洞与Bug并不等同,他们之间的关系基本可以描述为:大部分的Bug影响功能性
half~·2022-11-02 14:51

Web应用程序中的常见安全漏洞

了解漏洞的一个很好的起点就是了解开放Web应用程序安全项目,也称为OWASP(https://www.owasp.org)。在OWASP上,您将找到应该在应用程序中避免的最常见漏洞的描述。
一口Linux·2022-10-30 17:22

Web 应用程序安全检查表

OWASP的前10名列表太短了,并且更多地关注列出漏洞而不是防御。相比之下,ASVS是一个很好的列表,但对于实际用途来说仍然有些神秘和模糊。该清单是对黄金分割的尝试。
allway2·2022-10-30 17:49

OWASP Cross-Site Scripting (XSS) 思路笔记

本此实践的WebGoat版本如下所示PhishingwithXSSLessonPlanTitle:PhishingwithXSS(网络钓鱼与XSS)这个看题目就知道要我们做什么了,主要就算通过XSS来让受害者输入自己的邮箱和密码来达到钓鱼的结果Itisalwaysagoodpracticetovalidateallinputontheserverside.XSScanoccurwhenunvali
isinstance·2022-10-30 12:43

Python 和 Pandas 读写那点事

今天用knockpy去挖owasp.org的子域名,结果挖取的结果是这个样子:信息是很全面,问题是,我是想要中间那个DomainName的信息。后来用Pandas整理了一个output。
I_Am_Alex·2022-10-29 07:46

SRC漏洞挖掘经验+技巧篇

一、漏洞挖掘的前期–信息收集虽然是前期,但是却是我认为最重要的一部分;很多人挖洞的时候说不知道如何入手,其实挖洞就是信息收集+常规owasptop10+逻辑漏洞(重要的可能就是思路猥琐一点),这些漏洞的测试方法本身不是特别复杂
web安全工具库·2022-10-28 10:12

业务安全漏洞挖掘归纳总结

0x00索引说明6.30在OWASP的分享,关于业务安全的漏洞检测模型。进一步的延伸科普。
Sword-heart·2022-10-28 10:11

CTF网络攻防总结

文章目录前言SQL注入万能密码表union注入攻击boolean注入攻击报错注入攻击时间注入攻击堆叠查询注入攻击二次注入攻击宽字节注入攻击cookie注入攻击base64注入攻击xff注入攻击参考密码学工具OWASPZAPBurpSuite
RyanC3·2022-10-24 17:03
上一页 3 4 5 6 7 8 9 10 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他