OWASP Top 10 2013中文版
- 格式:pdf
- 大小:1.58 MB
- 文档页数:22


网络安全漏洞-企业安全威胁
您的姓名: [填空题] *
_________________________________
1.近年来网络攻击已黑客使用频率最高的手段,关于网络攻击的实施步骤,下列()选项是正确的顺序 . [单选题] *
A. 信息收集、网络入侵、内网渗透、提升攻击权限、安装系统后门
B. 信息收集、网络入侵、提升攻击权限、内网渗透、安装系统后门(正确答案)
C. 信息收集、网络入侵、提升攻击权限、安装系统后门、内网渗透
D. 信息收集、网络入侵、安装系统后门、提升攻击权限、内网渗透
2.以下不属于检测失效身份验证类型的是(). [单选题] *
A.密码转储
B.字典攻击
C.钓鱼
D.SQL注入(正确答案)
3.日志记录和监控的作用不包含(). [单选题] *
A.溯源分析
B.告警提示
C.网络入侵(正确答案)
D.安全防护
4.以下XSS攻击()对业务造成的影响更为严重. [单选题] *
A.反射XSS
B.存储XSS(正确答案) C.DOM
5.下列防御手段不属于威胁检测的是(). [单选题] *
A. EDR
B. 蜜罐
C. 网络准入(正确答案)
D. IDPS
6.下列()选项不属于webshell网页文件形式. [单选题] *
A. php
B. asp
C. html(正确答案)
D. CGI
7.以下WEB应用程序安全风险不属于2017年OWSASPTOP10的是() [单选题] *
A. 注入
B. 失效的访问控制
C. 敏感信息泄露
D. 未验证的重定向和转发(正确答案)
8.在2017版OWASPTOP10中,排名前五的漏洞依次顺序为() [单选题] *
A.注入、失效的身份认证、敏感信息泄露、XXE、失效的访问控制(正确答案)
B.注入、失效的身份认证、敏感信息泄露、失效的访问控制、XXE
C.注入、失效的访问控制、XXE、敏感信息泄露、失效的身份认证
【OWASPTOP10】2021年常见web安全漏洞TOP10排⾏
【2021】常见web安全漏洞TOP10排⾏
应⽤程序安全风险
攻击者可以通过应⽤程序中许多的不同的路径⽅式去危害企业业务。每种路径⽅法都代表了⼀种风险,这些风险都值得关注。
什么是 OWASP TOP 10
OWASP(开放式Web应⽤程序安全项⽬)是⼀个开放的社区,由⾮营利组织 OWASP基⾦会⽀持的项⽬。对所有致⼒于改进应⽤程序安全的⼈⼠开放,旨在提⾼对应⽤程序安全性的
认识。
其最具权威的就是“10项最严重的Web 应⽤程序安全风险列表” ,总结并更新Web应⽤程序中最可能、最常见、最危险的⼗⼤漏洞,是开发、测试、服务、咨询⼈员应知应会的知识。
OWASP Top 10 2021 是全新的,具有新的图形设计和⼀页有⽤的信息图。
2021 年前 10 名发⽣了什么变化
有三个新类别,四个类别的命名和范围发⽣了变化,并且 2021 年的前 10 名中进⾏了⼀些合并。
A01:2021-Broken Access Control 失效的访问控制
从第五位上升;94% 的应⽤程序都经过了某种形式的破坏访问控制的测试。映射到 Broken Access Control 的 34 个 CWE 在应⽤程序中出现的次数⽐任何其他类别都多。
A02:2021-Cryptographic Failures 加密失败
上移⼀位⾄ #2,以前称为敏感数据泄露,这是⼴泛的症状⽽不是根本原因。此处重新关注与密码学相关的漏洞,这些漏洞通常会导致敏感数据泄露或系统受损。
A03:2021-Injection 注⼊
下滑到第三位。94% 的应⽤程序都针对某种形式的注⼊进⾏了测试,映射到此类别的 33 个 CWE 在应⽤程序中的出现次数排名第⼆。跨站点脚本攻击现在是此版本中此类别的⼀部
分。
A04:2021-不安全的设计
是2021 年的⼀个新类别,重点关注与设计缺陷相关的风险。如果我们真的想作为⼀个⾏业“安全左移”,就需要更多地使⽤威胁建模、安全设计模式和原则以及参考架构。
安全性测试:OWASPZAP使⽤⼊门指南
免责声明:
本⽂意在讨论使⽤⼯具来应对软件研发领域中,⽇益增长的安全性质量测试需求。本⽂涉及到的⼯具不可被⽤于攻击⽬的。
1. 安全性测试
前些天,⼀则12306⽤户账号泄露的新闻迅速发酵,引起了购票⽤户的⼀⽚恐慌。
且不论这次账号泄露的漏洞究竟是发⽣在哪⾥,⽹络安全性这个话题再次引起了我们的关注。
做为IT从业⼈员,我们的研发产品是否具有⾜够的安全性,是不是能够在亿万⽤户的?我们是不是应该更多的关注产品安全性,投⼊更多的安全性测试资源?
从⾏业发展的趋势来看,答案是肯定的。
2. OWASP
OWASP是⼀个开源的、⾮盈利的全球性安全组织,致⼒于应⽤软件的安全研究。其使命是使应⽤软件更加安全,使企业和组织能够对应⽤安全风险作出更清晰的决策。⽬前OWASP全球拥有220个分部近六万名会员,共同推动了安全标准、安全测试⼯具、安全指导⼿册等应⽤安全技术的发展。
近⼏年,OWASP峰会以及各国OWASP年会均取得了巨⼤的成功,推动了数以百万的IT从业⼈员对应⽤安全的关注以及理解,并为各类企业的应⽤安全提供了明确的指引。
OWASP被视为web应⽤安全领域的权威参考。2009年发布的美国国家和国际⽴法、标准、准则、委员会和⾏业实务守则参考引⽤了OWASP。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP⼗⼤WEB弱点防护守则。
OWASP 颁布并且定期维护更新的web安全漏洞TOP 10,也成为了web安全性领域的权威指导标准,同时也是IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准。
3. ZAP
OWASP ZAP,全称:OWASP Zed Attack Proxy攻击代理服务器是世界上最受欢迎的免费安全⼯具之⼀。ZAP可以帮助我们在开发和测试应⽤程序过程中,⾃动发现 Web应⽤程序中的安全漏洞。另外,它也是⼀款提供给具备丰富经验的渗透测试⼈员进⾏⼈⼯安全测试的优秀⼯具。
OWASP BWA靶机镜像注解
20151105
目录
一、TRAINING APPLICATIONS ............................................................................................. 3
1 OWASP WebGoat(OWASP ) ................................................................... 3 2 OWASP ESAPI Java SwingSet Interactive........................................................................... 3
3 OWASP Mutillidae II ...................................................................................................... 3
4 OWASP Rails Goat......................................................................................................... 4
5 OWASP Bricks............................................................................................................... 4
6 OWASP Security Shepherd ............................................................................................. 4 7 Magical Code Injection Rainbow(MCIR) ...................................................................... 4