2019OWASP漏洞top10

原創 卖N孩的X火柴 2020-06-14 12:36

舊版(2013)

    A1 注入 Injection
    A2 失效的身份認證和會話管理 
    A3 跨站腳本-XSS
    A4 直接引用不安全的對象
    A5 安全配置錯誤
    A6 敏感信息泄露
    A7 缺少功能級訪問控制
    A8 跨站請求僞造 CSRF
    A9 使用含有已知漏洞的組件
    A10 未驗證的重定向和轉發

新版(2017)

    A1 注入 Injection
    A2 失效的身份認證
    A3 敏感信息泄露
    A4 XML外部實體(XXE)
    A5 失效的訪問控制
    A6 安全配置錯誤
    A7 跨站腳本(XSS)
    A8 不安全的反序列化
    A9 使用含有已知漏洞的組件
    A10 不足的日誌記錄和監控

對比圖

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

web滲透之——PHP反序列化漏洞

漏洞原理 PHP反序列化漏洞也叫PHP對象注入,是一個非常常見的漏洞,這種類型的漏洞雖然有些難以利用,但一旦利用成功就會造成非常危險的後果。 漏洞的形成的根本原因是程序沒有對用戶輸入的反序列化字符串進行檢測,導致反序列化過程可以被

卖N孩的X火柴 2020-06-14 12:36:19

xss漏洞之——釣魚頁面

1.重定向釣魚:把當前頁面重定向到一個釣魚頁面,此處使用百度測試 代碼: <script>document.location="http://www.baidu.com"</script> 注入後效果: 2.HTML 注入式

卖N孩的X火柴 2020-06-14 12:36:19

web滲透之——任意代碼執行漏洞

漏洞原理 當應用在調用一些能將字符串轉化成代碼的函數時,沒有考慮用戶是否能夠控制這個字符串,將造成代碼注入漏洞 在php中: eval,assert,將字符串當成代碼執行 preg_replace("/wslp/e","$xr",

卖N孩的X火柴 2020-06-14 12:36:19

web滲透裏常見的邏輯漏洞

漏洞原理 網站開發人員在建設網站的時候,由於驗證不嚴格,造成的bug 漏洞危害 任意用戶重置密碼 提權/越權 任意金額購買 驗證碼繞過 … 漏洞利用 一.修改任意用戶密碼 環境: 自行搭建的登陸平臺 條件: 修改密碼時會發送修改的

卖N孩的X火柴 2020-06-14 12:36:19

web滲透之——命令執行漏洞

漏洞分類 1.web代碼層命令執行 exec(“whoami”); 2.第三方組件命令執行漏洞 WordPress中用來處理圖片的ImageMagick組件 JAVA中的命令注入漏洞(struts2/ElasticsearchGr

卖N孩的X火柴 2020-06-14 12:36:19

typecho反序列化漏洞原理及復現過程

漏洞介紹 Typecho是一個簡單,輕巧的博客程序。基於PHP,使用多種數據庫(Mysql,PostgreSQL,SQLite)儲存數據。在GPL Version 2許可證下發行,是一個開源的程序,目前使用SVN來做版本管理 漏洞

卖N孩的X火柴 2020-06-14 12:36:19

xxe漏洞之——漏洞復現

漏洞介紹 XXE全稱XML External Entity Injection,也就是XML外部實體注入攻擊,漏洞是對非安全的外部實體數據進行處理時引發的安全問題。要了解XXE,就必須懂得XML的一些規則。 XML是用於標記電子文

卖N孩的X火柴 2020-06-14 12:36:09

xss漏洞之——初識xss

xss介紹 跨站腳本攻擊一-XSS (Cross Site Script),指的是攻擊者往Web頁面或者URL裏插入惡意JavaScript腳本代碼,如果Web應用程序對於用戶輸入的內容沒有過濾,那麼當正常用戶瀏覽該網頁的時候,嵌

卖N孩的X火柴 2020-06-14 12:36:09

xss漏洞之——初識xss

xss介紹 跨站腳本攻擊一-XSS (Cross Site Script),指的是攻擊者往Web頁面或者URL裏插入惡意JavaScript腳本代碼,如果Web應用程序對於用戶輸入的內容沒有過濾,那麼當正常用戶瀏覽該網頁的時候,嵌

卖N孩的X火柴 2020-06-14 12:36:09