当前位置: 首页 > news >正文

OWASP Top 10 网络安全10大漏洞——A02:A02:2021-加密机制失效

news 2025/8/23 12:10:06

10大Web应用程序安全风险

2021年top10中有三个新类别、四个类别的命名和范围变化,以及一些合并。
在这里插入图片描述

A02:A02:2021-加密机制失效

上升一个位置,当前top2,以前称为敏感数据泄露,是一种状况而不是根本原因。更新后的类别侧重加密相关的故障,这通常会导致敏感数据泄露或系统泄露。

已映射的CWE最大发生率平均发生率平均加权漏洞利用平均加权影响最大覆盖范围平均覆盖率总发生次数CVE 总数
2946.44%4.49%7.296.8179.33%34.85%233,7883,075

什么是加密机制失效?

由于传输过程中缺少加密或弱加密,或者意外暴露敏感数据,可能会发生加密失败情况。
首先确定传输中数据的保护需求和休息。例如,密码、信用卡号、健康 记录、个人信息和商业机密需要额外的保护,主要是如果该数据属于隐私法,例如欧盟的通用数据保护条例(GDPR)或法规,例如金融数据保护,例如 PCI 数据安全标准(PCI DSS。
属于隐私法的数据,是否存在以明文传输的问题。
数据是否适用旧的较弱的加密算法和协议来加密。
收到的服务器证书和信任链是否经过验证。
设计加密机制是是否考虑随机性。

如何预防

针对这些漏洞的攻击通常特定于应用,因此需要采用深度防御方法来缓解。
精细的 SSL 和 TLS 加密方式控制,使用安全协议(如 TLS)加密传输中的所有数据 前向保密(FS)密码,密码优先级由服务器和安全参数。使用指令强制加密如HTTP严格传输安全(HSTS)。

  • 强制执行MFA/2FA
  • 保护API密钥
  • 强制执行API密钥轮替
  • 计算映像隐私
  • 强制执行SSH密钥规则
  • 安全启动监控
  • API访问安全
  • SSL政策监控
  • 已停用日志记录
  • 公共存储分区 ACL提醒
    不要使用FTP和SMTP等传统协议进行传输敏感数据。
    始终使用经过身份验证的加密,而不仅仅是加密。
    密钥应以加密方式随机生成并存储在内存作为字节数组。如果使用密码,则必须转换密码 通过适当的密码库密钥派生函数到密钥。
    为防止您的 Web 应用泄露敏感数据,请确保不以明文形式发送密码。通过检查公开的 git 和 Apache Subversion 源代码库,避免泄露可能造成破坏的原始源代码。这些扫描旨在涵盖特定 OWASP 十大控制措施。

A01:2021-访问控制中断

A02:A02:2021-Cryptographic Failures

A03:2021-injection
A04:2021-不安全设计
A05:2021-安全配置错误

相关文章:

OWASP Top 10 网络安全10大漏洞——A02:A02:2021-加密机制失效

10大Web应用程序安全风险 2021年top10中有三个新类别、四个类别的命名和范围变化,以及一些合并。 A02:A02:2021-加密机制失效 上升一个位置,当前top2,以前称为敏感数据泄露,是一种状况而不是根本原因。更新后的类别…...

编程日记 2024/3/12 20:26:47

2024-3-11-C++作业

1>试编程 要求&#xff1a; 提示并输入一个字符串&#xff0c;统计该字符中大写、小写字母个数、数字个数、空格个数以及其他字符个数 源代码: #include <iostream>using namespace std;int main() {string s;cout << "请输入字符串&#xff1a;"…...

编程日记 2024/3/12 20:22:43

Spring Boot 实现文件本地以及OSS上传

Spring Boot 实现文件上传 Maven依赖 <dependency><groupId>com.aliyun.oss</groupId><artifactId>aliyun-sdk-oss</artifactId><version>3.15.1</version> </dependency>上传到本地 package yang.controller;import java.…...

编程日记 2024/3/12 20:21:42

如何选择一家优秀的APP开发公司?

在移动应用市场的激烈竞争中&#xff0c;选择一家合适的APP开发公司至关重要。然而&#xff0c;仅仅选择了一家公司并不足以确保项目的成功。本文将为您详细介绍选择好APP开发公司后&#xff0c;还应该注意的关键因素&#xff0c;并引入虎克技术公司的以往合作客户的过程中给出…...

编程日记 2024/3/12 20:19:40

【美团笔试】20240309—春招、暑期实习实习笔试

【美团笔试】20240309—春招实习笔试真题 文章目录 【美团笔试】20240309—春招实习笔试真题1. 小美的MT2. 小美的数组询问3. 小美的平衡矩阵(前缀和)4. 小美的区间删除5. 小美的朋友关系参考1. 小美的MT MT 是美团的缩写,因此小美很喜欢这两个字母。现在小美拿到了一个仅由…...

编程日记 2024/3/12 20:16:36

4-LINUX--文件操作命令

一、文件查看命令 1. cat 1.1 查看文件内容&#xff0c;示例如下&#xff1a; 1.2 合并文件&#xff0c;示例如下&#xff1a; 1.3 往文件中写入数据&#xff0c; Ctrld 是结束输入&#xff0c;示例如下&#xff1a; 2. more 当一个文件的内容超过一个屏幕能显示的行数…...

编程日记 2024/3/12 20:15:35

浏览器缓存 四种缓存分类 两种缓存类型

浏览器缓存 本文主要包含以下内容&#xff1a; 什么是浏览器缓存按照缓存位置分类 Service WorkerMemory CacheDisk CachePush Cache 按照缓存类型分类 强制缓存协商缓存 缓存读取规则浏览器行为 什么是浏览器缓存 在正式开始讲解浏览器缓存之前&#xff0c;我们先来回顾一…...

编程日记 2024/3/12 20:14:34

html5cssjs代码 003 50以内的乘法算式

html5&css&js代码 003 50以内的乘法算式 一、代码二、解释 综合应用代码示例。50以内的乘法算式。 一、代码 <!DOCTYPE html> <html lang"en"> <head><title>20以内的乘法</title><meta charset"UTF-8"><…...

编程日记 2024/3/12 20:11:31

安全先行,合规的内外网文件摆渡要重点关注什么?

内外网隔离在政府、军工部门、科研单位等已成为很常见的网络安全建设措施&#xff0c;内外网隔离是一种网络安全措施&#xff0c;用于保护内部网络免受外部网络的攻击和威胁。 内外网隔离的目的在于限制内外网之间的通信和数据交换&#xff0c;但网络隔离后&#xff0c;仍有数据…...

编程日记 2024/3/12 20:06:25

python:牛客NP9---16进制数字大小

文章目录 一、题意描述输入描述&#xff1a;输出描述&#xff1a; 二、代码1.代码的实现2.读入数据 总结 一、题意 描述 计算的世界&#xff0c;除了二进制与十进制&#xff0c;使用最多的就是十六进制了&#xff0c;现在使用input读入一个十六进制的数字&#xff0c;输出它的…...

编程日记 2024/3/12 20:05:24

【惠友小课堂】你玉米几几呀?关爱青少年骨骼健康,助力“神兽”成长

玉 米 几 几 “你玉米几几呀”这是什么梗&#xff1f;怎么突然火了&#xff1f; 起因是一位来自云南的网友有金记录真实生活&#xff0c;在社交媒体平台上发布了一则视频&#xff0c;视频中字幕“玉米六六”实际上是对“一米六六”身高的一种谐音替换&#xff0c;这种创意表…...

编程日记 2024/3/12 19:59:18

【办公类-21-09】三级育婴师 视频转文字docx(等线小五单倍行距),批量改成“宋体小四、1.5倍行距、蓝色字体”

作品展示&#xff1a; 背景需求&#xff1a; 一、视频处理 1、育婴师培训的现场视频 2、下载视频&#xff0c;将视频换成考题名称 二、音频 视频用格式工厂转成MP3音频 3、转文字doc 把音频放入“网易云见外工作台”转换为“文字" 等待5分钟&#xff0c;音频文字会被写…...

编程日记 2024/3/12 19:58:17

Unity DropDown 组件 详解

Unity版本 2022.3.13f1 Dropdown下拉菜单可以快速创建大量选项 一、 Dropwon属性详解 属性&#xff1a;功能&#xff1a;Interactable此组件是否接受输入&#xff1f;请参阅 Interactable。Transition确定控件以何种方式对用户操作进行可视化响应的属性。请参阅过渡选项。Nav…...

编程日记 2024/3/12 19:55:14

Spring AOP常见面试题

目录 一、对于AOP的理解 二、Spring是如何实现AOP的 1、execution表达式 2、annotation 3、基于Spring API&#xff0c;通过xml配置的方式。 4、基于代理实现 三、Spring AOP的实现原理 四、Spring是如何选择使用哪种动态代理 1、Spring Framework 2、Spring Boot 五…...

编程日记 2024/3/12 19:53:12

Java学习笔记14——常量与变量

曾和儿子分享过所谓计算机程序&#xff0c;都是编写代码进行“数据处理和处理数据”而已。任何编程语言编写何种应用&#xff0c;数据都必须以某种方式表示。掌握变量和常量的用法&#xff0c;可以使代码的可维护性、可读性大大提高。 一、常量 常量就是在程序中固定不变的量…...

编程日记 2024/3/12 19:49:08

代码随想录算法训练营第四十四天 | 卡码网52. 携带研究材料 ,LeetCode 518. 零钱兑换 II , 377. 组合总和 Ⅳ

题目链接&#xff1a;52. 携带研究材料&#xff08;第七期模拟笔试&#xff09; (kamacoder.com) #include<bits/stdc.h> using namespace std;int main(){ios::sync_with_stdio(false);cin.tie(0);cout.tie(0);int n,v;cin>>n>>v;vector<int> dp(v1,…...

编程日记 2024/3/12 19:48:06

Android Kotlin知识汇总(四)Kotlin 协程实践

Kotlin的重要优势及特点之——结构化并发 Kotlin 协程是一种并发设计模式&#xff0c;可以在 Android 平台上让异步代码像阻塞代码一样易于使用。协程可大幅简化后台任务管理&#xff0c;例如网络调用、本地数据访问等任务的管理。 简单来说&#xff0c;协程就是一种轻量级的非…...

编程日记 2024/3/12 19:45:03

python基础篇--学习记录2

1.深浅拷贝 l1 ["张大仙","徐凤年",["李淳刚","邓太阿"]] # 变量名对应的就是内存地址,这里就是将l1的内存地址给了l2 # 现在两个变量指向同一个内存地址,l1变化l2也会变化 l2 l1 现在的需求是l2是l1的拷贝版本,但是两者是完全分割…...

编程日记 2024/3/12 19:44:02

自动化运维工具Ansible

一.Ansible基本内容 1.定义 Ansible是基于模块工作的&#xff0c;只是提供了一种运行框架&#xff0c;本身没有完成任务的能力&#xff0c;真正操作的是Anisble的模块。每个模块都是独立的、实现了批量系统配置、批量程序部署、批量运行命令等功能。 2.特点与优势 优势&…...

编程日记 2024/3/12 19:43:01

VR全景在智慧园区中的应用

VR全景如今以及广泛的应用于生产制造业、零售、展厅、房产等领域&#xff0c;如今720云VR全景更是在智慧园区的建设中&#xff0c;以其独特的优势&#xff0c;发挥着越来越重要的作用。VR全景作为打造智慧园区的重要角色和呈现方式已经受到了越来越多智慧园区企业的选择和应用。…...

编程日记 2024/3/12 19:39:55

调用支付宝接口响应40004 SYSTEM_ERROR问题排查

在对接支付宝API的时候&#xff0c;遇到了一些问题&#xff0c;记录一下排查过程。 Body:{"datadigital_fincloud_generalsaas_face_certify_initialize_response":{"msg":"Business Failed","code":"40004","sub_msg…...

编程新知 2025/8/12 0:03:44

页面渲染流程与性能优化

页面渲染流程与性能优化详解&#xff08;完整版&#xff09; 一、现代浏览器渲染流程&#xff08;详细说明&#xff09; 1. 构建DOM树 浏览器接收到HTML文档后&#xff0c;会逐步解析并构建DOM&#xff08;Document Object Model&#xff09;树。具体过程如下&#xff1a; (…...

编程新知 2025/8/10 22:32:47

相机从app启动流程

一、流程框架图 二、具体流程分析 1、得到cameralist和对应的静态信息 目录如下: 重点代码分析: 启动相机前,先要通过getCameraIdList获取camera的个数以及id,然后可以通过getCameraCharacteristics获取对应id camera的capabilities(静态信息)进行一些openCamera前的…...

编程新知 2025/8/6 0:19:15

AI编程--插件对比分析:CodeRider、GitHub Copilot及其他

AI编程插件对比分析&#xff1a;CodeRider、GitHub Copilot及其他 随着人工智能技术的快速发展&#xff0c;AI编程插件已成为提升开发者生产力的重要工具。CodeRider和GitHub Copilot作为市场上的领先者&#xff0c;分别以其独特的特性和生态系统吸引了大量开发者。本文将从功…...

编程新知 2025/7/6 18:33:10

精益数据分析(97/126):邮件营销与用户参与度的关键指标优化指南

精益数据分析&#xff08;97/126&#xff09;&#xff1a;邮件营销与用户参与度的关键指标优化指南 在数字化营销时代&#xff0c;邮件列表效度、用户参与度和网站性能等指标往往决定着创业公司的增长成败。今天&#xff0c;我们将深入解析邮件打开率、网站可用性、页面参与时…...

编程新知 2025/6/25 2:48:04

微软PowerBI考试 PL300-在 Power BI 中清理、转换和加载数据

微软PowerBI考试 PL300-在 Power BI 中清理、转换和加载数据 Power Query 具有大量专门帮助您清理和准备数据以供分析的功能。 您将了解如何简化复杂模型、更改数据类型、重命名对象和透视数据。 您还将了解如何分析列&#xff0c;以便知晓哪些列包含有价值的数据&#xff0c;…...

编程新知 2025/8/22 3:59:09

论文笔记——相干体技术在裂缝预测中的应用研究

目录 相关地震知识补充地震数据的认识地震几何属性 相干体算法定义基本原理第一代相干体技术&#xff1a;基于互相关的相干体技术&#xff08;Correlation&#xff09;第二代相干体技术&#xff1a;基于相似的相干体技术&#xff08;Semblance&#xff09;基于多道相似的相干体…...

编程新知 2025/8/22 4:24:56

Linux离线(zip方式)安装docker

目录 基础信息操作系统信息docker信息 安装实例安装步骤示例 遇到的问题问题1&#xff1a;修改默认工作路径启动失败问题2 找不到对应组 基础信息 操作系统信息 OS版本&#xff1a;CentOS 7 64位 内核版本&#xff1a;3.10.0 相关命令&#xff1a; uname -rcat /etc/os-rele…...

编程新知 2025/6/16 16:58:04

Java求职者面试指南:Spring、Spring Boot、MyBatis框架与计算机基础问题解析

Java求职者面试指南&#xff1a;Spring、Spring Boot、MyBatis框架与计算机基础问题解析 一、第一轮提问&#xff08;基础概念问题&#xff09; 1. 请解释Spring框架的核心容器是什么&#xff1f;它在Spring中起到什么作用&#xff1f; Spring框架的核心容器是IoC容器&#…...

编程新知 2025/6/16 22:53:40

从 GreenPlum 到镜舟数据库:杭银消费金融湖仓一体转型实践

作者&#xff1a;吴岐诗&#xff0c;杭银消费金融大数据应用开发工程师 本文整理自杭银消费金融大数据应用开发工程师在StarRocks Summit Asia 2024的分享 引言&#xff1a;融合数据湖与数仓的创新之路 在数字金融时代&#xff0c;数据已成为金融机构的核心竞争力。杭银消费金…...

编程新知 2025/8/20 18:59:45