随笔分类 - OWASP-2021
摘要:概述 从上一版的第 6 位开始,90% 的应用程序都经过了某种形式的错误配置测试。随着更多转向高度可配置的软件,看到这一类别上升也就不足为奇了。值得注意的CWE包括CWE-16 Configuration和CWE-611 Improper Restriction of XML External En
阅读全文
摘要:A04:2021 – 不安全的设计 概述 2021 年的新类别侧重于与设计和架构缺陷相关的风险,并呼吁更多地使用威胁建模、安全设计模式和参考架构。值得注意的CWE包括 CWE-209:生成包含敏感信息的错误消息、 CWE-256:未受保护的凭证存储、CWE-501:信任边界违规和CWE-522:受保
阅读全文
摘要:Injection 注入 先来看看描述 94%的应用程序都测试了某种形式的注入,注入类别中如今包括跨站脚本。映射到该类别的33个CWE在应用程序中出现次数第二多。 这里说的注入也就包括了跨站点脚本、SQL注入、文件名或路径的外部访问控制。 这些漏洞缺陷都是再CWE中的,等等! CWE是个啥? CWE
阅读全文
摘要:Cryptographic Failures 加密失败 以前称为敏感数据泄露,这是广泛的症状而不是根本原因。此处重新关注与密码学相关的漏洞,这些漏洞通常会导致敏感数据泄露或系统受损。 这类漏洞我目前理解的是采用的加密方式手段不是相对最安全的,比如可被彩虹表对应到的hash值等等 这是网上找到的 对于
阅读全文
摘要:Top1 --失效的访问控制 这是21年最新的排名,失效的访问控制排到了第一, 简单来说它包括哪些问题: 文件包含/目录遍历 权限绕过(水平越权) 权限提升(垂直越权) 不安全直接对象的引用 文件包含/目录遍历 随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进
阅读全文
