争取在寒假掌握基本的top10漏洞
在网络安全领域,“Top 10 漏洞”通常指的是 OWASP Top 10,这是由 OWASP(Open Web Application Security Project) 定期发布的 Web 应用安全风险排行榜,被广泛视为 Web 安全的权威参考。
以下是 OWASP Top 10 2021 版本(当前最新版)的十大安全风险:
- Broken Access Control(访问控制失效)
用户能够访问其本不应访问的资源(如其他用户的数据、管理功能等)。 - Cryptographic Failures(加密失败)
敏感数据未正确加密(如传输或存储时明文保存密码、信用卡号等)。 - Injection(注入)
包括 SQL 注入、OS 命令注入、LDAP 注入等。攻击者可执行恶意代码。你熟悉的 SQLMap 就常用于检测此类漏洞。 - Insecure Design(不安全设计)
系统架构或设计本身存在安全缺陷,无法通过编码修复,需从设计层面解决。 - Security Misconfiguration(安全配置错误)
如默认账户未删、错误的权限设置、详细错误信息暴露等。 - Vulnerable and Outdated Components(含漏洞或过时组件)
使用了存在已知漏洞的第三方库、框架或插件(如 Log4j、旧版 jQuery 等)。 - Identification and Authentication Failures(身份认证和会话管理失效)
如弱密码策略、会话令牌可预测、未正确注销等。 - Software and Data Integrity Failures(软件和数据完整性失效)
涉及未验证的代码更新、反序列化漏洞(如你研究的 PHP 反序列化链)、CI/CD 流程被篡改等。 - Security Logging and Monitoring Failures(安全日志与监控失效)
无法及时发现或响应攻击行为(如未记录登录失败、无告警机制)。 - Server-Side Request Forgery (SSRF)(服务端请求伪造)
Comments NOTHING