资料列表
Preview Name 作者 Date File info Actions
  • 应用安全威胁及解决方案 基于OWASP top 10 2013
    • 应用程序安全风险
    • A1 – 注入
    • A2 –失效的身份认证和会话管理
    • A3 –跨站脚本(XSS)
    • A4 - 不安全的直接对象引用
    • A5-安全配置错误
    • A6-敏感信息泄漏
    • A7 - 功能级访问控制缺失
    • A8 – 跨站请求伪造CSRF
    • A9 - 使用已知含有漏洞的组件
    • A10-未验证的重定向和转发
夏天泽 OWASP中国安徽区域负责人 2017-08-28 11:23:54
  • 附件: 1 个
  • 大小: 4.93 M
  • OWASP Top 10 2017(RC1)中文版
  • 2017 RC1版Top 10风险

    • A1—注入

    注入攻击漏洞,例如:SQL、OS 以及 LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被恰当授权时访问数据。

    • A2—失效的身份认证和会话管理

    与身份认证和会话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份(临时性的或永久性的)。

    • A3—跨站脚本(XSS)

    当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送给一个网页浏览器,这就会产生跨站脚本攻击(简称XSS)。XSS允许攻击者在受害者的浏览器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向至恶意网站。

    • A4—失效的访问控制

    对已通过身份验证用户的运行限制,没有得到恰当的强制执行。攻击者可以利用这些缺陷访问未经授权的功能和/或数据, 例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。

    • A5—安全配置错误

    好的安全需要对应用程序、框架、应用程序服务器、web服务器、数据库服务器和平台定义和执行安全配置。由于许多设置的默认值并不是安全的,因此,必须定义、实施和维护这些设置。这包含了对所有的软件保持及时地更新,包括所有应用程序的库文件。

    • A6—敏感信息泄漏

    许多Web应用程序没有正确保护敏感数据,如信用卡,税务ID和身份验证凭据。攻击者可能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取,或其他犯罪。敏感数据值需额外的保护,比如在存放或在传输过程中的加密,以及在与浏览器交换时进行特殊的预防措施。

    • A7—攻击检测与防护不足

    大多数应用程序和API都缺乏检测、防止和响应手动和自动攻击的基本能力。攻击防护远远超出了基本的输入验证,并涉及到自动检测、记录、响应,甚至阻止漏洞的利用企图。应用程序所有者还需能够快速部署修补程序以防止攻击。

    • A8—跨站请求伪造(CSRF)

    一个跨站请求伪造攻击迫使用户已登录的浏览器将伪造的HTTP请求(包括该用户的会话cookie和其他认证信息)发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求,而这些请求会被应用程序认为是用户的合法请求。

    • A9—使用含有已知漏洞的组件

    组件,比如:库文件、框架和其它软件模块,几乎总是以全部的权限运行。如果一个带有漏洞的组件被利用,这种攻击可以造成更为严重的数据丢失或服务器接管。应用程序使用带有已知漏洞的组件会破坏应用程序防御系统,并使一系列可能的攻击和影响成为可能。

    • A10—未受到充分保护的API

    现代应用程序通常涉及富客户端的应用程序和API,如:在浏览器和移动应用程序中的JavaScript,它们连接到某种API(如:SOAP/XML、REST/JSON、RPC、GWT等)。这些API通常是没有保护的, 并且包含大量漏洞。

OWASP 2017-05-02 12:01:58
  • 附件: 1 个
  • 大小: 1.53 M
  • OWASP Top 10–2017 rc1候选版[DSRC全文翻译]
  • 滴滴安全DSRC翻译了候选版(非正式发布版)以便于大家快速阅读,希望大家关注OWASP Top 10项目给我们指导意见的同时,并向OWASP Top 10项目提供更多有价值的反馈。

    OWASP Top 10 – 2017 (新版)

    • A1 – 注入
    • A2 –失效的身份认证和会话管理
    • A3 –跨站脚本 (XSS)
    • A4 –失效的访问控制(最初归类在2003/2004)
    • A5 –安全配置错误
    • A6 –敏感信息泄露
    • A7 –攻击检测与防范不足(NEW)
    • A8 –跨站请求伪造(CSRF)
    • A9 –使用含有已知漏洞的组件
    • A10 – 未受保护的APIs (NEW)
滴滴安全DSRC 2017-04-15 02:23:53
  • 附件: 1 个
  • 大小: 0.79 M
  • OWASP Top 10: Effectiveness of Web Application Firewalls
  • 在2015年底,我们针对大部分常见的商业和开源WAFs展开了密集测试。我们测试了基于网络和基于主机的网络应用程序防火墙,在实验室里,我们的团队测试人员尝试搜索容易被网络应用程序保护的漏洞。我们把这些产品测试置于OWASP10大标准之下,试图绕过它们的攻击来检测算法。尽管我们预期WAFs能够在某些情境下表现良好,但还是好奇它们如何处理一些特定的攻击情景。当指定的一个WAF测试失败之后,我们会联系供应商并且跟他们确认该程序运用失败并不是由于我们的配置运用错误。该演示不是为了说明哪个应用程序防火墙在我们的测试中表现得多好,而是为了研究WAF是如何在OWASP10大准则之下的高效性。例如,它们是否能够有效地抵御SQL的注入侵袭?又或者它们是否能够阻止直接、不安全的物体攻击行为?面对跨脚本攻击抑或曝露性敏感数据,它们又能做出哪些回应?这些WAFs是否真的可以有效抵抗OWASP10大基准吗?我们是否真的可以依靠它们来保护我们的应用程序安全?或者我们是否应该贯彻实施其他安全行为来减少网络风险呢?如我们一样,你们也会得到一些惊喜的答案。

    Agenda

    • • Commercial vs Open Source Web Application Firewalls (WAF)
    • • Bypassing WAF Filtering
    • • Effectiveness against the OWASP Top 10
David Caissy 2016-06-19 07:57:39
  • 附件: 1 个
  • 大小: 0.75 M
  • OWASP CISO Survey Report – Tactical Insights for Managers
  • 本次演讲是关于最新版的OWASP CISO调查报告项目,该项目是基于对全球数百位CISO和高级安全经理的调查数据而编译而成的。OWASP CISO调查报告包含最新安全行业趋势和安全风险

    该目标是给高级管理者们提供关于应用程序和网络安全方面的战术情报、指引和最佳的实践方法。随着不断演变的威胁环境危及绑定的敏感数据和公司信息的网络应用程序,CISO们将面临如何最好地减轻这些风险的挑战。通常情况下,风险决策包括了贸易当中现有的和新的网络应用程序的安全性措施,并决定在哪里进行投资。在应用程序安全方面进行正确的投资是非常关键的,这能够减少安全隐患和达到治理、安全和遵从法规政策。

Tobias Gondrom 2016-06-19 07:55:04
  • 附件: 1 个
  • 大小: 7.1 M
  • OWASP Mobile 2016 & Self-healing apps
  • OWASP Mobile Top 10 2016正式发布。 OWASP移动团队一直在努力改进移动安全标准。OWASP移动项目高度专注于提高Android、iOS和Windows等平台的移动应用程序的安全性。OWASP Mobile Top 10 2016版本更倾向于移动移动应用程序,而不是服务器。2016版本新增了跟物联网相关的“M10:无关的功能“。

    我们也正在增加移动应用自我修的相关内容。 如果一个移动应用程序足够智能,能够检测并阻止潜在的攻击,那么它不仅会帮助到渗透测试人员; 同时也有利于帮助企业和开发人员。它还将确保每一个被开发的应用程序能够满足所有基本的安全需求以防止潜在的MITM攻击。这将有助于保障应用程序的的请求/响应的完整性。在不久的将来,我们将有一个示例应用程序来演示这一概念。

Milan Singh Thakur 2016-06-19 07:50:34
  • 附件: 1 个
  • 大小: 0.83 M
Seba Deleersnyder 2016-06-18 09:05:06
  • 附件: 1 个
  • 大小: 3.79 M
  • OWASP 全球报告
  • OWASP是一个开源的、非盈利的全球性安全组织,致力于 应用软件的安全研究

    我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策

    所有人都可以免费参与OWASP。我们全部资料都在 免费和开源的软件许可证下提供使用

Seba Deleersnyder 2016-06-18 08:30:36
  • 附件: 1 个
  • 大小: 4.09 M
Colin Watson 2016-06-18 03:49:10
  • 附件: 1 个
  • 大小: 0.56 M
2016-06-17 14:53:07
  • 附件: 1 个
  • 大小: 0.58 M