记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

2017 OWASP十大关键Web应用安全风险简析

前不久,安全牛报道了2017 OWASP的十大安全问题最终版,下面这篇文章则对十大安全风险做了简单分析。2017 OWASP十大关键Web应用安全风险简析受越来越短的软件项目生命周期影响,有些应用面临损及金融、医疗、零售业和其他行业数字安全的风险。开发人员和经理必须了解这些最常见的风险,才能保护自己的应用。为此,开放网页应用安全计划(OWASP)定期发布十大最关键Web应用安全风险。该计划从专精应用安全的公司企业收集40多份数据,数据涵盖数百家公司处收集的漏洞信息,涉及10万个应用和API。OWASP根据可利用性、普遍性、可检测性和技术影响程度,给每种风险打分。这些风险是随时在变的。比如说,来自社区的500个同行提交,就在2017年往OWASP榜单的前瞻风险类列表中加入了2个新成员。该组织还从源代码分析安全测试
发布时间:2017-12-30 23:00 | 阅读:147606 | 评论:0 | 标签:行业动态 OWASP Web应用安全 安全风险

2017 OWASP Top10正式发布

日前,非营利性组织开放式Web应用安全项目(OWASP)正式发布了十大最关键的Web应用安全风险。这是该组织自2013年以来对十大安全风险排名的首次更新。 关于OWASP Top10 OWASP项目最具权威的就是其“十大安全漏洞列表”(OWASPTop 10),OWASP Top 10不是官方文档或标准,而只是一个被广泛采用的意识文档,被用来分类网络安全漏洞的严重程度,目前被许多漏洞奖励平台和企业安全团队评估错误报告。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。 OWASP Top 10提供: 10大最关键Web应用安全隐患列表 针对每个安全隐患,OWASP Top 10将提供: 描述 示例漏洞 示例攻击 防
发布时间:2017-11-29 10:15 | 阅读:95718 | 评论:0 | 标签:WEB安全 OWASP web应用安全

2017 OWASP十大安全问题最终版发布

上周,2017 OWASP十大安全问题最终版发布,几类不再呈现严重风险的漏洞,被更易造成重大威胁的问题所替代。4月份的时候,OWASP就发布了2017十大安全问题候选初版,引发关于哪些该入选哪些不该入选的激烈争论。与2013 OWASP十大安全问题相比,最突出的一个改变,是2017年上榜的漏洞类型为基于所带来的风险而选出。今年上榜的十大OWASP漏洞为:注入、破裂的验证机制、敏感数据暴露、XML外部实体(XXE)、遭破坏的访问控制、错误的安全配置、跨站脚本(XSS)、不安全反序列化、使用带已知漏洞的组件,以及日志和监视不足。虽然XSS可被归为注入的一种,但因此类漏洞的解决方式与SQL和OS指令注入不同,而仍被留做单独的一类。跨站请求伪造(CSRF)被从OWASP十大中移除,因为现代开发框架确保了此类漏洞可被避免
发布时间:2017-11-26 21:05 | 阅读:97272 | 评论:0 | 标签:行业动态 2017 OWASP web漏洞

2017 OWASP 10大安全漏洞初版提案出炉:新增2大漏洞类型

4月10日,开放网页应用安全计划(OWASP)发布了其2017年10大安全漏洞提案初版,提出了2个新的漏洞类型。 2个新分类分别是:“攻击检测与预防不足”和“未受保护的API”。 给“未受保护的API”让位的,是在2010年进入“10大”的“未经验证的重定向和转发”,该分类在当前(2013)列表中排名第10。 “攻击检测与预防不足”被添加到第7的位置,通过合并当前排名第4的“不安全直接对象引用”和排名第7的“函数级访问控制缺失”腾出空间,合并后的分类被命名为“失效的访问控制”——恢复到2004年的分类名。 OWASP对新“攻击防护不足”分类的描述是:“大多数应用和API缺乏检测、预防和响应手动或自动化攻击的能力。攻击防护远不止基本输入验证,涉及自动化检测、记录、响应,甚至封锁漏洞利用尝试。应用所有者还要能快
发布时间:2017-04-13 16:35 | 阅读:124731 | 评论:0 | 标签:行业动态 OWASP 安全漏洞 漏洞

OpenDoor:Owasp出品的开源目录扫描器

项目主页 https://github.com/stanislav-web/OpenDoor 简介 OpenDoor是一款Owasp出品的开源目录扫描器,使用程序里包含的字典进行扫描。可用于渗透测试时扫描网站后台,切入点和敏感目录。支持代理模式,可以检测重定向、子域名等。 安装 要求 Python 2.7.x 安装依赖 sudo pip install -r requirements.txt 特点 多线程 文件系统日志 检测重定向 随机用户代理 从代理列表随机代理 详细模式 子域扫描 使用 基本用法 python ./opendoor.py --url "http://joomla-ua.org" 命令 usage: opendoor.py [-h] [-u URL] [--port PORT] [-
发布时间:2016-11-19 00:30 | 阅读:165066 | 评论:0 | 标签:工具 OpenDoor Owasp 开源目录扫描器 扫描

工具推荐:OWASP VBScan 0.1.6 – Black Box vBulletin漏洞扫描器

OWASP VBScan (VBulletin Vulnerability Scanner的简写),VBScan是采用Perl语言开发的一个开源项目,可对vBulletin CMS进行漏洞扫描检测。如果你想对vBulletin论坛做渗透测试,OWASP VBScan是一个很不错的选择。我们的这个项目将迅速跟进VBulletin的漏洞! 项目发起人 : Mohammad Reza Espargham Github : https://github.com/rezasp/vbscan/ SourceForge : https://sourceforge.net/projects/vbscan/ OWASP 页面 : https://www.owas
发布时间:2016-05-09 15:15 | 阅读:119244 | 评论:0 | 标签:工具 OWASP vBulletin 扫描器 漏洞 扫描

嘲风网络安全技术沙龙第二期

分享内容:OWASP TOP 10 OWASP TOP 10 WEB弱点防护守则: 国际信用卡数据安全技术PCI标准更将其列为必要组件 为美国国防信息系统局(DISA)应用安全和开发清单参考 为欧洲网络与信息安全局(ENISA), 云计算风险评估参考 为美国联邦首席信息官(CIO)理事会,联邦部门和机构使用社会媒体的安全指南 为美国国家安全局/中央安全局, 可管理的网络计划提供参考 为英国GovCERTUK提供SQL注入参考 为欧洲网络与信息安全局(ENISA), 云计算风险评估提供参考 OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准 分享人:OWASP中国区.负责人陈亮先生 时间:2016年3月22日20时 地点:昆明西山区广福路湖畔之梦66栋大师会
发布时间:2016-03-21 03:50 | 阅读:96177 | 评论:0 | 标签:独家 GovCERTUK OWASP OWASP中国区 嘲风网络 安全技术沙龙

OWASP ZSC Shellcoder:定制个人专属Shellcode

OWASP ZSC是一款用Python编写的开源软件,它可以帮助你在你的操作系统中生成自定义的Shellcode。这款软件可以在 Windows/Linux&Unix/OSX以及其他操作系统下运行,前提是,你安装了Python 2.7.x。Shellcode的用途Shellcode可以用于软件开发的payload,还可以用于编写恶意软件、绕过安全防护软件、杀毒软件、代码混淆等。代码混淆的用途可以用于绕过杀毒软件、代码保护等。为什么使用OWASP ZSC?与其他像metasploit等shellcode产生工具不同,OWASP ZSC使用新的编码和方法,反病毒软件无法检测。OWASP ZSC的编码可以产生带有随机编码的shellcode,让你立刻获得成千上万中进行同样工作的新的动态的
发布时间:2016-02-02 00:45 | 阅读:124305 | 评论:0 | 标签:工具 OWASP Shellcoder

OWASP移动安全测试指南抢先看:证书锁定绕过

Certificate Pinning(证书锁定)是一项额外的安全层,对于应用程序而言它可以确保远程服务器提供的证书唯一性。通过应用程序中包含的远程服务器x509证书或者公钥,可以实现本地存储的证书或者key与远程服务器提供的证书进行比对如果你发现无法拦截(Man-in-the-Middle)应用程序的HTTPS通信信息,这极有可能就是应用程序使用了证书锁定。绕过证书锁定证书锁定是一项客户端安全保护机制,其可以通过伪造应用程序或者环境来进行绕过。可以通过反汇编应用程序移除或者伪造证书锁定逻辑,当然也可以将应用程序嵌入的证书更换成另一个应用程序的证书。虽说有工具可以实现自动化禁用证书锁定操作,但是这些工具不一定能跟上变换着的形式,你可能需要尝试学会使用手动方法进行上面所讨论的操作。iOS应用
发布时间:2015-11-13 11:20 | 阅读:92104 | 评论:0 | 标签:WEB安全 终端安全 OWASP 测试 移动安全 证书 锁定 移动

OWASP中国2015应用安全论坛

近几年来,随着通信技术及终端设备不断升级,移动互联网生态蓬勃发展。同时海量的用户规模推动我国的大数据产业快速发展,大数据产业链也正加速形成。‍‍当前,BAT及金融等行业已成功利用大数据实现新型商业模式的应用,今年众所周知的 “互联网+”政策东风将进一步推动大数据在传统产业转型升级、促进信息消费等方面发挥更广泛更积极的作用。在此背景下,如何利用大数据分析来保障业务安全将是我们关注的重点。OWASP2015聚焦大数据OWASP 使命是使应用软件更加安全,使企业和组织能够对应用安全风险做出更清晰的决策;OWASP 中国应用安全论坛持续聚焦业务安全领域。因此,为了应对“新常态”下的安全风险,有效保障业务安全,OWASP 2015中国应用安全论坛–“业务安全之大数据分析”将重点围绕“如何
发布时间:2015-06-09 18:31 | 阅读:82246 | 评论:0 | 标签:活动 OWASP

安全科普:看视频理解Web应用安全漏洞TOP10(IBM内部视频)

伴随着越来越多应用程序的开发,Web似乎也承载了更多功能,譬如谷歌办公套件(Google Docs)、计算器、电子邮件、存储空间、地图、天气及新闻等等… 而这一切又是基于满足我们生活的日常需求。现如今,我们的手机如果不能联网就立刻变成了砖头,因为几乎所有的移动应用程序都链接到了用以储存我们的图片、用户名、密码和其他私人信息的云端,甚至连我们家具都可以上互联网,通过诸如Wink的物联网平台让我们通过手机就可以调节屋内灯光的明暗程度。网络正以光速侵入我们生活的方方面面,但安全问题却似乎远远地被甩在了后面。  应用程序攻与防 大家普遍认同应用层的防守是最难做的。这里的漏洞经常需要基于复杂的用户输入情况,因此很难用入侵检测验证去鉴别应用是否被入侵,同时这一层也是最容易并且最有可能接触到外面世界的。为使应用程
发布时间:2015-04-13 21:45 | 阅读:114636 | 评论:0 | 标签:安全 IBM内部视频 OWASP TOP10 Web应用安全漏洞 漏洞

owasp2012议题《在云上跳舞》

老技术,只是当时忘了放上来,看过的请略过。http://www.inbreak.net/wp-content/uploads/2014/09/hacking_java_sandbox_on_cloud_appEngine.7z好吧,因为某些事情的需要放上来的。
发布时间:2014-09-20 17:25 | 阅读:59684 | 评论:0 | 标签:Java Security 原创文章 owasp

OWASP 2014应用安全论坛(中国互联网大会Web与应用安全分论坛)议程

OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有140个分会近四万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。大会主题:应用安全的下一个热点大会地点:中国•北京•国家会议中心大会形式:论坛参会规模:总参会人数预计500人次日程安排:会议详情及嘉宾介绍:http://www.owasp.org.cn/OWASP_Conference/owasp-20140924/jb更多详情,请关注O
发布时间:2014-08-20 02:10 | 阅读:90180 | 评论:0 | 标签:WEB安全 活动 CWASP OWASP 无线安全 移动支付安全

OWASP Top10 2013发布

距离上一个版本发布,已经过去了3年,在前几天,OSASP发布了2013版本的Top 10,后面加了个RC1,看来后续可能还会有修改。发现虽然许多年过去了,可是排在前面的还是那几个老东西,看来未来相当长一段时间,前面几位是很难变动了,很多Web应用扫描器都是以OWASP的这个Top 10来衡量扫描功力的,估计会引起大家的关注。 PDF下载地址:https://code.google.com/p/owasptop10 OWASP官网: https://www.owasp.org
发布时间:2013-02-18 19:00 | 阅读:218521 | 评论:0 | 标签:网络安全 OWASP

关于XSS Filter Evasion Cheat Sheet

去年9月转了一篇文章,取名为《77怒汉,77个XSS用例总结》,现在已经被我删掉了,是一些XSS用例的总结,一开始觉得是从某知名安全站转的,应该没什么问题,中间也有网友指出过其中的一些错误。后来找到了文章的出处,就是OWASP的XSS Filter Evasion Cheat Sheet,今天想自己看一看XSS有关BYPASS过滤的内容,越看越不靠谱,特别是一对照了英文原版的时候,我发现那篇翻过来的东西就是篇垃圾啊,不仅翻译有问题啊,尼玛很多地方代码都是一样的啊。 在这里要为转载了一篇垃圾文章道歉,特别那篇文章已经被好多采集站和黑客站转过去传播了,在这里一并向那些被误导的读者道歉。由于还没出中文版的XSS Filter Evasion Cheat Sheet,所以大家还是努力学英文吧,最近对翻译的东西很反
发布时间:2013-02-07 17:19 | 阅读:111696 | 评论:0 | 标签:网络安全 OWASP XSS

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云