owasp top 10

1、访问控制的崩溃:
通过身份验证的用户可以访问其他用户的信息,越权
达成方式:通过修改url、内部应用程序状态或html页面绕过
防范:除了公有资源外,默认情况下拒绝访问,严格判断权限,记录失败的访问控制及时上报告警,
2、敏感数据泄露:
达成方式:用户安全意识参差不齐
防范:加强员工意识,谨慎使用第三方软件,禁止使用工作邮箱注册非工作相关网站
3、注入
将sql命令或xss插入到web表单进行查询
达成方式:通过web表单和url填入sql语句执行
防范:对用户进行分级管理,禁止将变量写入sql语句,提交变量时对引号,单引号,冒号等字符进行
转换或者过滤,按时进行扫描系统存在的相应漏洞,多层验证,数据库信息加密
4、不安全的设计
逻辑漏洞
5、配置安全不当
不安全的默认配置、不完整的临时配置、开源云存储、错误的http标头配置以及包含敏感信息的详细错
误信息造成的
达成方式:应用程序启用或安装了不必要的安全功能,默认账号名和密码没有修改,应用软件已过期或
出了新版本未更新,应用程序服务器,应用程序服务器,应用程序框架等未进行安全配置,错误处理机
制披露大量敏感信息,对于更新的系统,禁用或不安全地配置安全功能
防范:按照加固手册加固,搭建最小平台,不包含任何不必要的功能、组件、文档和示例,临时文件要
及时删除
6、使用含有已知漏洞组件
软件易受攻击,不再支持或者过时。这包括:OS,Web服务器,应用框架服务器,数据库管理系统,
应用程序,API和所有地组件,运行环境和库;没有对更新地、升级地或者打过补丁地组件进行兼容性
测试
防范:移除不使用的依赖、不需要地功能、组件、文件和文档,仅从官方渠道安全的获取组件,并使用
前面机制来降低组件被篡改或加入恶意漏洞的风险;监控那些不在维护或者不发布安全补丁的库和组件
7、身份识别和身份验证错误
允许暴力破解的密码或者账号,允许默认的、弱的或总所周知的密码,使用明文、加密或弱散列密码,
缺少或失效的多因素身份验证,暴露url中的会话id,旧密码泄露,会话id使用时间过长
防范:在可能的情况下,实现多因素身份验证,检查弱口令,限制或逐渐延迟失败的登录尝试,使用服
务端安全的内置会话管理器
8、软件和数据完整性失败
防范:使用数字签名或类似机制来验证软件或数据来自预期来源且未被更改;确保使用安全工具验证组
件不包含已知漏洞,确保未签名或未加密的序列化数据不会在没有检查或数字签名的情况下发送到不受
信任的客户端
9、不足的安全日志和监控故障
内检能力不足,没有办法在别人攻击的时候发现
防范:确保所有登录、访问控制失败、输入验证失败能够被记录到日志中去,并保留足够的用户上下文
信息,确保日志以一种能被集中管理解决方案使用的形式生成,确保高额交易有完整性控制的审计信
息,以防止篡改或删除,审计信息保存在只能进行记录增加 的数据库表中
10、服务器请求伪造
ssrf利用一个可以发起网络请求的服务,当做跳板来攻击其他服务,使用web服务器作为代理来进行攻

防范:检查和验证所有客户端提供的输入数据,使用白名单允许列表执行url统一资源标志端、端口和目
标,不发送原始的回复,禁用http重定向

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/113507.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

冰蝎默认加密的流量解密

破解冰蝎的默认加密 流量包分析 上传的冰蝎流量包 POST /web-zh/DVWA/vulnerabilities/upload/ HTTP/1.1 Host: 192.168.197.111 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0 Accept: text/html,application/xhtmlxml,a…

Ansible定义各类变量,引用变量方式介绍及注册变量和vars_prompt的用法示例

目录 一.Ansible定义变量 1.用途 2.定义规则 3.变量优先级 二.命令行定义变量 三.定义主机和主机组变量 1.主机变量 (1)内置主机变量 (2)简单示例 2.主机组变量 四.定义playbook变量 1.通过vars表示定义变量&#xff…

HTML 实现 点击按钮切换 整张界面 点击按钮切换局部界面

点击按钮实现页面切换 点击按钮切换全局界面方法一: 使用a标签进行跳转连接 href方法二:在button标签中加上onclick属性,赋值为Javascript方法三:触发一个函数跳转方法四:表单的action定向提交跳转 点击按钮切换局部界…

shell条件测试与条件测试操作符

shell条件测试与条件测试操作符 条件测试变量#?test与条件测试语句方括号测试表达式字符串测试操作符逻辑测试操作符整数测试操作符双小括号的整数测试操作符与含义文件测试操作符条件测试举例 条件测试 条件测试是可以根据某个特定条件是否满足,来选择…

vscode调试container(进行rocksdb调试)+vscode比较git项目不同分支和fork的哪个分支

vscode调试container(进行rocksdb调试) 参考链接: https://blog.csdn.net/qq_29809823/article/details/128445308#t5 https://blog.csdn.net/qq_29809823/article/details/121978762#t7 使用vscode中的插件dev containners->点击左侧的…

zmq封装

ZmqBindlib zmq常用封装 使用方法 基本使用 1.简单请求回复 ZmqRequest request new ZmqRequest();request.RemoteAddress localaddes;request.PubClient "A";int num 0;while (true){// Thread.Sleep(1000);//string msg request.Request("hi"…

【微信小程序开发】小程序微信用户授权登录(用户信息手机号)

🥳🥳Welcome Huihuis Code World ! !🥳🥳 接下来看看由辉辉所写的关于小程序的相关操作吧 目录 🥳🥳Welcome Huihuis Code World ! !🥳🥳 授权流程讲解 一.用户信息授权登录 1.w…

MD-MTSP:粒子群优化算法PSO求解多仓库多旅行商问题MATLAB(可更改数据集,旅行商的数量和起点)

一、多仓库多旅行商问题MD-MTSP 多旅行商问题(Multiple Traveling Salesman Problem, MTSP)是著名的旅行商问题(Traveling Salesman Problem, TSP)的延伸,多旅行商问题定义为:给定一个𝑛座城市…

LabVIEW中管理大型数据

LabVIEW中管理大数据 LabVIEW的最大优势之一是自动内存管理。这种内存管理允许用户轻松创建字符串、数组和集群,而无需C/C用户经常担心。但是,这种内存管理设计为绝对安全,因此数据被非常频繁地复制。这通常不会造成任何问题,但是…

vue3 列表页开发【选择展示列】功能

目录 背景描述: 开发流程: 详细开发流程: 总结: 背景描述: 这个功能是基于之前写的 封装列表页 的功能继续写的,加了一个选择展示列的功能,可以随时控制表格里展示那些列的数据&#xf…

【算法教程】排列与组合的实现

数据准备 在讲排列与组合之前,我们先定义数据元素类型Fruit class Fruit{constructor(name,price){this.name namethis.price price} }排列 对N个不同元素进行排序,总共有多少不同的排列方式? Step1: 从N个元素中取1个,共N种…

Pandas 数据处理分析系列1--SeriesDataFrame数据结构详解

Pandas 概述 Pandas 是一个开源的数据分析和数据处理库,是基于 NumPy 开发的。它提供了灵活且高效的数据结构,使得处理和分析结构化、缺失和时间序列数据变得更加容易。其在数据分析和数据处理领域广泛应用,在金融、社交媒体、科学研究等领域都有很高的使用率和广泛的应用场…

系列十一、Redis中分布式缓存实现

一、缓存 1.1、什么是缓存 内存就是计算机内存中的一段数据。 1.2、内存中的数据特点 读写快断电数据丢失 1.3、缓存解决了什么问题 提高了网站的吞吐量和运行效率减轻了数据库的访问压力 1.4、哪些数据适合加缓存 使用缓存时,一定是数据库中的数据极少发生改…

【Vue】Element开发笔记

Element开发笔记 前言 官网 https://element.eleme.cn/#/zh-CN/component/upload 其它项目网站 https://www.cnblogs.com/qq2806933146xiaobai/p/17180878.html 表格 序号列添加 <el-table-column type"index" :index"handleIndexCalc" label&qu…

深度强化学习 第 4 章 DQN 与 Q 学习

4.1 DQN 最优动作价值函数的用途 假如我们知道 Q ⋆ Q_⋆ Q⋆​&#xff0c;我们就能用它做控制。 我们希望知道 Q ⋆ Q_⋆ Q⋆​&#xff0c;因为它就像是先知一般&#xff0c;可以预见未来&#xff0c;在 t t t 时刻就预见 t t t 到 n n n时刻之间的累计奖励的期望。假如…

5G来临,迎客莱带你探索运营商大数据的应用

随着5G时代的来临&#xff0c;不仅在算力的基础上得到了加强和保障&#xff0c;同时也丰富了计算的方式和模式&#xff0c;如边缘计算、霾计算等。计算方式和模式的改变&#xff0c;对于运营商来说&#xff0c;意味着更丰富的数据维度&#xff0c;更鲜活的数据和更强大的数据处…

无人机航拍图像拼接与目标识别

一、简介 无人机用来做图像侦察是常见功能&#xff0c;现有技术基本是无人机对某片区域进行飞行&#xff0c;人工实时监控飞行图像&#xff0c;将图像录制成视频供事后回放。此方法对人员业务要求比较高、反应速度足够快、不利于信息收集、录制视频丢失空间信息、对于后期开展区…

Qt判断一个点在多边形内还是外(支持凸边形和凹变形)

这里实现的方法是转载于https://blog.csdn.net/trj14/article/details/43190653和https://blog.csdn.net/WilliamSun0122/article/details/77994526 来实现的&#xff0c;并且按照Qt的规则进行了调整。 以下实现方法有四种&#xff0c;每种方法的具体讲解在转载的博客中有说明&…

Python之爬虫

目录 HTTP请求HTTP响应获得页面响应伪装用户访问打包数据爬取豆瓣top250 HTTP请求 HTTP&#xff1a;HypertextTransferProtcol 超文本传输协议 1、请求行 POST/user/info?new_usertrue HTTP/1.1#资源了路径user/info 查询参数new_usertrue 协议版本HTTP/1.1 2、请求头 Ho…

element ui 下拉框 选择月份和天数

一、背景 目前做的管理系统项目&#xff0c;期望实现功能为&#xff1a;设置出账周期和出账日&#xff0c;考虑使用element ui下拉框实现功能 二、所用技术 vue2element ui 三、实现效果 四、具体代码 <template><popup-frame :title"批量设置出账日" …