資訊安全 OWASP


Posted by tzutzu858 on 2020-09-20

OWASP (Open Web Application Security Project)

開放式 Web 應用程式安全項目(OWASP)是一個在線社區,在 Web 應用安全領域提供免費的文章,方法,文檔,工具和技術
OWASP Top Ten


中文版在這
擷取 pdf 裡面有 2013 版本跟 2017 版本的比較

2017 比 2013 版本,新增了 3 個新的資安風險
包括 :
「A4-XML 漏洞」
「A8-不安全的反序列化漏洞」
「A10-紀錄與監控不足」

A1: Injection 注入攻擊依然是 2013 和 2017 的榜首

建議防範 :

  • 使用 Prepared Statements、Stored Procedures。
  • 嚴密檢查所有輸入值。
  • 控管錯誤訊息僅管理者可以閱讀。
  • 使用過濾字串函數過濾非法的字元。
  • 控管資料庫及網站使用者帳號權限。

文章取自 :資安人須知的 OWASP TOP 10 資安風險來源(上)

2013 落榜的 A8 CSRF。因為很多平台整合了CSRF防禦,所以只有5%的應用程序受到了威脅。那什麼是 CSRF ( Cross Site Request Forgery ) 跨站請求偽造 ,又稱作 one-click attack,可以看這篇文章 : 讓我們來談談 CSRF


結尾來個 Huli 介紹的 orange 大大,很厲害的找漏洞大師
雖然文章都看不懂,但是卻覺得很有趣










Related Posts

第一~四周學習心得

第一~四周學習心得

介紹Promise和Async/Await

介紹Promise和Async/Await

[Release Notes] 20200926_v1 - Refined main style to Dark Mode

[Release Notes] 20200926_v1 - Refined main style to Dark Mode


Comments