记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Threat Dragon:一款针对OWASP的威胁模型构建平台

收录于话题 OWASP Threat DragonThreat Dragon是一个免费的、开源的、跨平台的威胁模型构建应用,其中包含了系统图表和支持威胁/解决方案自动生成的规则引擎。Threat Dragon是一款针对OWASP的威胁模型构建平台,该项目基于UX(一个功能强大的规则引擎)实现其功能,并且整合了其他开发生命周期工具。
发布时间:2020-09-08 21:08 | 阅读:8850 | 评论:0 | 标签:OWASP

OWASP 固件安全性测试指南

 固件安全评估,英文名称 firmware security testing methodology 简称 FSTM。该指导方法主要是为了安全研究人员、软件开发人员、顾问、爱好者和信息安全专业人员进行固件安全评估。
发布时间:2020-04-14 11:40 | 阅读:52179 | 评论:0 | 标签:OWASP

技术小哥须知——OWASP Top10 列表是否够用引发的思考

本文将主要解读一篇关于讨论 OWASP Top10 与 NVD CWE 列表的有趣论文,并结合笔者的相关经历和思考分享一些经验。背景对安全行业的人来说, OWASP Top10 恐怕没有人觉得陌生,这已经是一个众所周知的项目。这个项目已经运行了很多年,在过去的10年当中,这个项目分别在2004年、2007年、2010年、2013年、2017年几乎每三年发布一次更新,每一次发布的 Top10 漏洞列表都是当时最流行的前十个 Web 漏洞。这个 Top10 列表也因此得到大众的认可,每一次更新也受到了很大的关注。很多 Web 安全的初学者也会选择将这个列表当作一个指导性的学习材料。
发布时间:2020-03-19 11:59 | 阅读:37667 | 评论:0 | 标签:OWASP

OWASP发布威胁建模工具Threat Dragon桌面版

近日,开放Web应用程序安全项目(OWASP)发布了威胁建模工具——Threat Dragon的可安装桌面版本。Threat Dragon是一个跨平台的开源工具,可以帮助企业简化风险评估流程。免费和开源的Threat Dragon工具包括系统图表和规则引擎,可自动确定和排列安全威胁,建议缓解措施并实施对策。新推出的桌面版本基于Electron,提供Windows、macOS桌面安装程序以及Linux的RPM和Debian软件包,模型文件存储在本地文件系统上。Threat Dragon还有一个Web版本程序,其模型文件存储在GitHub中–未来还计划支持其他存储方式。
发布时间:2020-03-10 17:42 | 阅读:35187 | 评论:0 | 标签:牛闻牛评 首页动态 OWASP Threat Dragon桌面版 威胁建模工具

2017 OWASP十大关键Web应用安全风险简析

前不久,安全牛报道了2017 OWASP的十大安全问题最终版,下面这篇文章则对十大安全风险做了简单分析。2017 OWASP十大关键Web应用安全风险简析受越来越短的软件项目生命周期影响,有些应用面临损及金融、医疗、零售业和其他行业数字安全的风险。开发人员和经理必须了解这些最常见的风险,才能保护自己的应用。为此,开放网页应用安全计划(OWASP)定期发布十大最关键Web应用安全风险。该计划从专精应用安全的公司企业收集40多份数据,数据涵盖数百家公司处收集的漏洞信息,涉及10万个应用和API。OWASP根据可利用性、普遍性、可检测性和技术影响程度,给每种风险打分。这些风险是随时在变的。
发布时间:2017-12-30 23:00 | 阅读:203931 | 评论:0 | 标签:行业动态 OWASP Web应用安全 安全风险

2017 OWASP Top10正式发布

日前,非营利性组织开放式Web应用安全项目(OWASP)正式发布了十大最关键的Web应用安全风险。这是该组织自2013年以来对十大安全风险排名的首次更新。 关于OWASP Top10 OWASP项目最具权威的就是其“十大安全漏洞列表”(OWASPTop 10),OWASP Top 10不是官方文档或标准,而只是一个被广泛采用的意识文档,被用来分类网络安全漏洞的严重程度,目前被许多漏洞奖励平台和企业安全团队评估错误报告。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。
发布时间:2017-11-29 10:15 | 阅读:135851 | 评论:0 | 标签:WEB安全 OWASP web应用安全

2017 OWASP十大安全问题最终版发布

上周,2017 OWASP十大安全问题最终版发布,几类不再呈现严重风险的漏洞,被更易造成重大威胁的问题所替代。4月份的时候,OWASP就发布了2017十大安全问题候选初版,引发关于哪些该入选哪些不该入选的激烈争论。与2013 OWASP十大安全问题相比,最突出的一个改变,是2017年上榜的漏洞类型为基于所带来的风险而选出。今年上榜的十大OWASP漏洞为:注入、破裂的验证机制、敏感数据暴露、XML外部实体(XXE)、遭破坏的访问控制、错误的安全配置、跨站脚本(XSS)、不安全反序列化、使用带已知漏洞的组件,以及日志和监视不足。
发布时间:2017-11-26 21:05 | 阅读:135238 | 评论:0 | 标签:行业动态 2017 OWASP web漏洞

2017 OWASP 10大安全漏洞初版提案出炉:新增2大漏洞类型

4月10日,开放网页应用安全计划(OWASP)发布了其2017年10大安全漏洞提案初版,提出了2个新的漏洞类型。 2个新分类分别是:“攻击检测与预防不足”和“未受保护的API”。 给“未受保护的API”让位的,是在2010年进入“10大”的“未经验证的重定向和转发”,该分类在当前(2013)列表中排名第10。 “攻击检测与预防不足”被添加到第7的位置,通过合并当前排名第4的“不安全直接对象引用”和排名第7的“函数级访问控制缺失”腾出空间,合并后的分类被命名为“失效的访问控制”——恢复到2004年的分类名。
发布时间:2017-04-13 16:35 | 阅读:150851 | 评论:0 | 标签:行业动态 OWASP 安全漏洞 漏洞

OpenDoor:Owasp出品的开源目录扫描器

项目主页 https://github.com/stanislav-web/OpenDoor 简介 OpenDoor是一款Owasp出品的开源目录扫描器,使用程序里包含的字典进行扫描。可用于渗透测试时扫描网站后台,切入点和敏感目录。支持代理模式,可以检测重定向、子域名等。
发布时间:2016-11-19 00:30 | 阅读:229101 | 评论:0 | 标签:工具 OpenDoor Owasp 开源目录扫描器 扫描

工具推荐:OWASP VBScan 0.1.6 – Black Box vBulletin漏洞扫描器

OWASP VBScan (VBulletin Vulnerability Scanner的简写),VBScan是采用Perl语言开发的一个开源项目,可对vBulletin CMS进行漏洞扫描检测。如果你想对vBulletin论坛做渗透测试,OWASP VBScan是一个很不错的选择。
发布时间:2016-05-09 15:15 | 阅读:148998 | 评论:0 | 标签:工具 OWASP vBulletin 扫描器 漏洞 扫描

嘲风网络安全技术沙龙第二期

分享内容:OWASP TOP 10 OWASP TOP 10 WEB弱点防护守则: 国际信用卡数据安全技术PCI标准更将其列为必要组件 为美国国防信息系统局(DISA)应用安全和开发清单
发布时间:2016-03-21 03:50 | 阅读:123375 | 评论:0 | 标签:独家 GovCERTUK OWASP OWASP中国区 嘲风网络 安全技术沙龙

OWASP ZSC Shellcoder:定制个人专属Shellcode

OWASP ZSC是一款用Python编写的开源软件,它可以帮助你在你的操作系统中生成自定义的Shellcode。这款软件可以在 Windows/Linux&Unix/OSX以及其他操作系统下运行,前提是,你安装了Python 2.7.x。Shellcode的用途Shellcode可以用于软件开发的payload,还可以用于编写恶意软件、绕过安全防护软件、杀毒软件、代码混淆等。代码混淆的用途可以用于绕过杀毒软件、代码保护等。为什么使用OWASP ZSC?与其他像metasploit等shellcode产生工具不同,OWASP ZSC使用新的编码和方法,反病毒软件无法检测。
发布时间:2016-02-02 00:45 | 阅读:160028 | 评论:0 | 标签:工具 OWASP Shellcoder

OWASP移动安全测试指南抢先看:证书锁定绕过

Certificate Pinning(证书锁定)是一项额外的安全层,对于应用程序而言它可以确保远程服务器提供的证书唯一性。通过应用程序中包含的远程服务器x509证书或者公钥,可以实现本地存储的证书或者key与远程服务器提供的证书进行比对如果你发现无法拦截(Man-in-the-Middle)应用程序的HTTPS通信信息,这极有可能就是应用程序使用了证书锁定。绕过证书锁定证书锁定是一项客户端安全保护机制,其可以通过伪造应用程序或者环境来进行绕过。可以通过反汇编应用程序移除或者伪造证书锁定逻辑,当然也可以将应用程序嵌入的证书更换成另一个应用程序的证书。
发布时间:2015-11-13 11:20 | 阅读:118816 | 评论:0 | 标签:WEB安全 终端安全 OWASP 测试 移动安全 证书 锁定 移动

OWASP中国2015应用安全论坛

近几年来,随着通信技术及终端设备不断升级,移动互联网生态蓬勃发展。同时海量的用户规模推动我国的大数据产业快速发展,大数据产业链也正加速形成。‍‍当前,BAT及金融等行业已成功利用大数据实现新型商业模式的应用,今年众所周知的 “互联网+”政策东风将进一步推动大数据在传统产业转型升级、促进信息消费等方面发挥更广泛更积极的作用。在此背景下,如何利用大数据分析来保障业务安全将是我们关注的重点。OWASP2015聚焦大数据OWASP 使命是使应用软件更加安全,使企业和组织能够对应用安全风险做出更清晰的决策;OWASP 中国应用安全论坛持续聚焦业务安全领域。
发布时间:2015-06-09 18:31 | 阅读:107077 | 评论:0 | 标签:活动 OWASP

安全科普:看视频理解Web应用安全漏洞TOP10(IBM内部视频)

伴随着越来越多应用程序的开发,Web似乎也承载了更多功能,譬如谷歌办公套件(Google Docs)、计算器、电子邮件、存储空间、地图、天气及新闻等等… 而这一切又是基于满足我们生活的日常需求。现如今,我们的手机如果不能联网就立刻变成了砖头,因为几乎所有的移动应用程序都链接到了用以储存我们的图片、用户名、密码和其他私人信息的云端,甚至连我们家具都可以上互联网,通过诸如Wink的物联网平台让我们通过手机就可以调节屋内灯光的明暗程度。网络正以光速侵入我们生活的方方面面,但安全问题却似乎远远地被甩在了后面。  应用程序攻与防 大家普遍认同应用层的防守是最难做的。
发布时间:2015-04-13 21:45 | 阅读:147474 | 评论:0 | 标签:安全 IBM内部视频 OWASP TOP10 Web应用安全漏洞 漏洞

owasp2012议题《在云上跳舞》

老技术,只是当时忘了放上来,看过的请略过。http://www.inbreak.net/wp-content/uploads/2014/09/hacking_java_sandbox_on_cloud_appEngine.7z好吧,因为某些事情的需要放上来的。
发布时间:2014-09-20 17:25 | 阅读:77397 | 评论:0 | 标签:Java Security 原创文章 owasp

OWASP 2014应用安全论坛(中国互联网大会Web与应用安全分论坛)议程

OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有140个分会近四万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。
发布时间:2014-08-20 02:10 | 阅读:116674 | 评论:0 | 标签:WEB安全 活动 CWASP OWASP 无线安全 移动支付安全

OWASP Top10 2013发布

距离上一个版本发布,已经过去了3年,在前几天,OSASP发布了2013版本的Top 10,后面加了个RC1,看来后续可能还会有修改。发现虽然许多年过去了,可是排在前面的还是那几个老东西,看来未来相当长一段时间,前面几位是很难变动了,很多Web应用扫描器都是以OWASP的这个Top 10来衡量扫描功力的,估计会引起大家的关注。
发布时间:2013-02-18 19:00 | 阅读:286450 | 评论:0 | 标签:网络安全 OWASP

关于XSS Filter Evasion Cheat Sheet

去年9月转了一篇文章,取名为《77怒汉,77个XSS用例总结》,现在已经被我删掉了,是一些XSS用例的总结,一开始觉得是从某知名安全站转的,应该没什么问题,中间也有网友指出过其中的一些错误。后来找到了文章的出处,就是OWASP的XSS Filter Evasion Cheat Sheet,今天想自己看一看XSS有关BYPASS过滤的内容,越看越不靠谱,特别是一对照了英文原版的时候,我发现那篇翻过来的东西就是篇垃圾啊,不仅翻译有问题啊,尼玛很多地方代码都是一样的啊。 在这里要为转载了一篇垃圾文章道歉,特别那篇文章已经被好多采集站和黑客站转过去传播了,在这里一并向那些被误导的读者道歉。
发布时间:2013-02-07 17:19 | 阅读:145420 | 评论:0 | 标签:网络安全 OWASP XSS

Web渗透测试框架-Zed Attack Proxy v 2.0.0(OWASP出品)

OWASP出品的Zed Attack Proxy (ZAP)是一款集成各种工具的渗透测试框架,可以发现在WEB应用程序中的漏洞。官方网站:https://www.owasp.org/index.php/OWASP_Zed_Attack_Prox
发布时间:2013-02-06 12:15 | 阅读:241496 | 评论:0 | 标签:工具 hack OWASP proxy tool Zed Attack Proxy

OWASP Live CD 项目

OWASP Live CD英文版,这是一个专门用于WEB安全测试的系统,用迅雷离线下载:http://appseclive.org/apt/downloads/owasp-wte-Feb-2011.iso.rarOWASP Live CD介绍PPT:https://www.o
发布时间:2013-01-10 01:40 | 阅读:249174 | 评论:0 | 标签:OWASP

some online hack game and simulation tests platform

名称: WebGoat项目地址: http://www.owasp.org/index.php/OWASP_WebGoat_Project简介:OWASP项目,WebGoat是一个用于讲解典型web漏洞的基于J2EE架构的web应用名称: Metasploitable项
发布时间:2013-01-10 01:40 | 阅读:146100 | 评论:2 | 标签:hack OWASP web

中文渗透测试专用Linux系统——MagicBox

首款中文渗透测试专用Linux系统——MagicBox即将问世,中文名称:“魔方系统”,開發代號:Genesis。第一版本發布時間:2012年12月5日这是由NEURON团队下的magicbox小组开发、维护和更新的一款Linux live CD,合并了backtrack + OWASP + RadioWar 三款 live CD的优点,主要用于“web安全”和“无线安全”的测试工作。去掉了backtrack中“逆向工程”、“安全取证”、“压力测试”等不常用的功能,以减少ISO的体积大小,但还保留取证的启动模式,只是没有取证的功能了。
发布时间:2013-01-10 01:40 | 阅读:139287 | 评论:0 | 标签:backtrack magicbox OWASP radiowar

owasp 2012 演讲与深圳之行

http://www.owasp.org.cn/OWASP_Conference/2012/agenda 峰会日程 时间 议题 嘉宾 公司 8:30-9:00 会议签到 9:00-9:15 开幕词及OWASP中国发展情况介绍 Rip Torn OWASP中国主席 9:15
发布时间:2013-01-07 19:31 | 阅读:126226 | 评论:0 | 标签:Security owasp owasp 2012

ADS

标签云