資訊安全 OWASP


Posted by tzutzu858 on 2020-09-20

OWASP (Open Web Application Security Project)

開放式 Web 應用程式安全項目(OWASP)是一個在線社區,在 Web 應用安全領域提供免費的文章,方法,文檔,工具和技術
OWASP Top Ten

中文版在這
擷取 pdf 裡面有 2013 版本跟 2017 版本的比較

2017 比 2013 版本,新增了 3 個新的資安風險
包括 :
「A4-XML 漏洞」
「A8-不安全的反序列化漏洞」
「A10-紀錄與監控不足」

A1: Injection 注入攻擊依然是 2013 和 2017 的榜首

建議防範 :

  • 使用 Prepared Statements、Stored Procedures。
  • 嚴密檢查所有輸入值。
  • 控管錯誤訊息僅管理者可以閱讀。
  • 使用過濾字串函數過濾非法的字元。
  • 控管資料庫及網站使用者帳號權限。

文章取自 :資安人須知的 OWASP TOP 10 資安風險來源(上)

2013 落榜的 A8 CSRF。因為很多平台整合了CSRF防禦,所以只有5%的應用程序受到了威脅。那什麼是 CSRF ( Cross Site Request Forgery ) 跨站請求偽造 ,又稱作 one-click attack,可以看這篇文章 : 讓我們來談談 CSRF

結尾來個 Huli 介紹的 orange 大大,很厲害的找漏洞大師
雖然文章都看不懂,但是卻覺得很有趣



tzutzu858




Related Posts

容器化的概念

容器化的概念

 Nacho
.Net MVC authorization Controller and Workcontext extension in razor view

.Net MVC authorization Controller and Workcontext extension in razor view

 feliiiii
Docker Compose 建置 Web service 起步走入門教學

Docker Compose 建置 Web service 起步走入門教學

 KD Chang

Comments