最近2018中文字幕在日韩欧美国产成人片_国产日韩精品一区二区在线_在线观看成年美女黄网色视频_国产精品一区三区五区_国产精彩刺激乱对白_看黄色黄大色黄片免费_人人超碰自拍cao_国产高清av在线_亚洲精品电影av_日韩美女尤物视频网站

 OWASP或Open Web Security Project是一家非營利性慈善組織，致力于提高軟件和Web應(yīng)用程序的安全性。

成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供普陀網(wǎng)站建設(shè)、普陀做網(wǎng)站、普陀網(wǎng)站設(shè)計(jì)、普陀網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、普陀企業(yè)網(wǎng)站模板建站服務(wù)，十載普陀做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

• 該組織根據(jù)來自各種安全組織的數(shù)據(jù)發(fā)布頂級(jí)Web安全漏洞列表。
• 根據(jù)可利用性，可檢測(cè)性和對(duì)軟件的影響，Web安全漏洞具有優(yōu)先級(jí)。
• 可開發(fā)性 -
• 利用安全漏洞需要什么？當(dāng)攻擊僅需要Web瀏覽器且最低級(jí)別是高級(jí)編程和工具時(shí)，可攻擊性最高。
• 可檢測(cè)性 -
• 檢測(cè)威脅有多容易？最高的是顯示在URL，表單或錯(cuò)誤消息上的信息，最低的是源代碼。
• 影響或損壞 -
• 如果安全漏洞暴露或受到攻擊，將會(huì)造成多大的破壞？最高的是完整的系統(tǒng)崩潰，最低的是什么都沒有。

OWASP Top 10的主要目標(biāo)是向開發(fā)人員，設(shè)計(jì)人員，經(jīng)理，架構(gòu)師和組織介紹最重要的安全漏洞。

你不知道這10個(gè)Web安全漏洞，就別說自己是黑客

根據(jù)OWASP Top 10，十大安全漏洞是：

• SQL Injection（SQL注入）
• Cross Site Scripting（xss跨站腳本）
• Broken Authentication and Session Management（身份驗(yàn)證和會(huì)話管理中斷）
• Insecure Direct Object References（不安全的直接對(duì)象引用）
• Cross Site Request Forgery（跨站點(diǎn)請(qǐng)求偽造）
• Security Misconfiguration（安全配置錯(cuò)誤）
• Insecure Cryptographic Storage（不安全的加密存儲(chǔ)）
• Failure to restrict URL Access（無法限制URL訪問）
• Insufficient Transport Layer Protection（傳輸層保護(hù)不足）
• Unvalidated Redirects and Forwards（未經(jīng)驗(yàn)證的重定向和轉(zhuǎn)發(fā)）

SQL注入

描述

SQL注入是一個(gè)安全漏洞，允許攻擊者通過操縱用戶提供的數(shù)據(jù)來更改后端SQL語句。

當(dāng)用戶輸入作為命令或查詢的一部分被發(fā)送到解釋器并且欺騙解釋器執(zhí)行非預(yù)期的命令并且允許訪問未授權(quán)的數(shù)據(jù)時(shí)，發(fā)生注入。

由Web應(yīng)用程序執(zhí)行時(shí)的SQL命令也可以公開后端數(shù)據(jù)庫。

意義

• 攻擊者可以將惡意內(nèi)容注入易受攻擊的字段。
• 可以從數(shù)據(jù)庫中讀取敏感數(shù)據(jù)，如用戶名，密碼等。
• 可以修改數(shù)據(jù)庫數(shù)據(jù)（插入/更新/刪除）。
• 管理操作可以在數(shù)據(jù)庫上執(zhí)行

易受攻擊的對(duì)象

• 輸入字段
• 與數(shù)據(jù)庫交互的URL。

例子：

• 登錄頁面上的SQL注入

在沒有有效憑據(jù)的情況下登錄應(yīng)用程序。

有效的userName可用，密碼不可用。

測(cè)試網(wǎng)址：http：//demo.testfire.net/default.aspx

用戶名：sjones

密碼：1 = 1'或pass123

創(chuàng)建SQL查詢并將其發(fā)送到Interpreter，如下所示

SELECT * FROM Users WHERE User_Name = sjones AND Password = 1 = 1'或pass123;

建議

1. 白名單列出輸入字段
2. 避免顯示對(duì)攻擊者有用的詳細(xì)錯(cuò)誤消息。

xss跨站腳本

描述

Cross Site Scripting也簡(jiǎn)稱為XSS。

XSS漏洞針對(duì)嵌入在客戶端（即用戶瀏覽器而不是服務(wù)器端）的頁面中嵌入的腳本。當(dāng)應(yīng)用程序獲取不受信任的數(shù)據(jù)并將其發(fā)送到Web瀏覽器而未經(jīng)適當(dāng)驗(yàn)證時(shí)，可能會(huì)出現(xiàn)這些缺陷。

在這種情況下受害者瀏覽器，攻擊者可以使用XSS對(duì)用戶執(zhí)行惡意腳本。由于瀏覽器無法知道腳本是否可靠，腳本將被執(zhí)行，攻擊者可以劫持會(huì)話cookie，破壞網(wǎng)站或?qū)⒂脩糁囟ㄏ虻讲恍枰膼阂饩W(wǎng)站。

XSS是一種攻擊，允許攻擊者在受害者的瀏覽器上執(zhí)行腳本。

意義：

• 利用此安全漏洞，攻擊者可以將腳本注入應(yīng)用程序，可以竊取會(huì)話cookie，破壞網(wǎng)站，并可以在受害者的計(jì)算機(jī)上運(yùn)行惡意軟件。

易受攻擊的對(duì)象

• 輸入字段
• 網(wǎng)址

例子

1. http://www.vulnerablesite.com/home?" < script > alert(" xss")

上述腳本在瀏覽器上運(yùn)行時(shí)，如果站點(diǎn)易受XSS攻擊，將顯示一個(gè)消息框。

如果攻擊者想要顯示或存儲(chǔ)會(huì)話cookie，則可以進(jìn)行更嚴(yán)重的攻擊。

2. http://demo.testfire.net/search.aspx?txtSearch