12
OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防
source link: https://blog.csdn.net/lifetragedy/article/details/52573897
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防
先来看几个出现安全问题的例子
OWASP TOP10
开发为什么要知道OWASP TOP10
TOP1-注入
TOP1-注入的示例
TOP1-注入的防范
TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)
TOP2-失效的身份认证和会话管理
TOP2-举例
TOP3-跨站
TOP3-防范
TOP3-复杂的 HTML 代码提交,如何处理?
TOP4-不安全的对象直接引用
TOP4-防范
TOP5-伪造跨站请求(CSRF)
TOP5-案例
TOP5-防范
TOP5-使用ESAPI防范
TOP6-安全误配置
TOP6-案例
TOP6-防范
TOP7-限制URL访问失败(缺少功能级访问控制)
TOP7-案例
TOP7-防范
TOP7-认证与权限设计
下面提供1个认证与权限相分离的设计给大家参考。
基于RBAC设计的权限系统(采用了表继承)
TOP8-未验证的重定向和转发
TOP8-案例
TOP8-测试与防范
TOP9-应用已知脆弱性的组件
TOP10-敏感信息暴露
TOP10-防范
补充资料-DDOS(分布式拒绝攻击)
补充资料-DDOS攻击步骤
如何有效对WEB防护
WEB安全产品种类
Web应用防火墙
初步需要形成的WEB安全整体方案一览
owasp靶机应该是每个渗透入门乃至一些高手的一个试炼地之一,以下是我在靶机上搭建虚拟的方法。
1.虚拟机安装
在这里我用的是VMware14,靶机自然也是VM的。
软件安装基本也是没有什么可讲的,安装过程中电脑重启为正常程序。
下载链接【0ey4 】
这个软件的链接已失效,各大平台都有注册码,直接下载官网软件然后注册即可。
2.owasp靶机下载
下载链接
以上的是一个下载平台的...
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK