OWASP Top 10 网络安全10大漏洞——A02:A02:2021-加密机制失效
10大Web应用程序安全风险
2021年top10中有三个新类别、四个类别的命名和范围变化,以及一些合并。
A02:A02:2021-加密机制失效
上升一个位置,当前top2,以前称为敏感数据泄露,是一种状况而不是根本原因。更新后的类别侧重加密相关的故障,这通常会导致敏感数据泄露或系统泄露。
| 已映射的CWE | 最大发生率 | 平均发生率 | 平均加权漏洞利用 | 平均加权影响 | 最大覆盖范围 | 平均覆盖率 | 总发生次数 | CVE 总数 |
|---|---|---|---|---|---|---|---|---|
| 29 | 46.44% | 4.49% | 7.29 | 6.81 | 79.33% | 34.85% | 233,788 | 3,075 |
什么是加密机制失效?
由于传输过程中缺少加密或弱加密,或者意外暴露敏感数据,可能会发生加密失败情况。
首先确定传输中数据的保护需求和休息。例如,密码、信用卡号、健康 记录、个人信息和商业机密需要额外的保护,主要是如果该数据属于隐私法,例如欧盟的通用数据保护条例(GDPR)或法规,例如金融数据保护,例如 PCI 数据安全标准(PCI DSS。
属于隐私法的数据,是否存在以明文传输的问题。
数据是否适用旧的较弱的加密算法和协议来加密。
收到的服务器证书和信任链是否经过验证。
设计加密机制是是否考虑随机性。
如何预防
针对这些漏洞的攻击通常特定于应用,因此需要采用深度防御方法来缓解。
精细的 SSL 和 TLS 加密方式控制,使用安全协议(如 TLS)加密传输中的所有数据 前向保密(FS)密码,密码优先级由服务器和安全参数。使用指令强制加密如HTTP严格传输安全(HSTS)。
- 强制执行MFA/2FA
- 保护API密钥
- 强制执行API密钥轮替
- 计算映像隐私
- 强制执行SSH密钥规则
- 安全启动监控
- API访问安全
- SSL政策监控
- 已停用日志记录
- 公共存储分区 ACL提醒
不要使用FTP和SMTP等传统协议进行传输敏感数据。
始终使用经过身份验证的加密,而不仅仅是加密。
密钥应以加密方式随机生成并存储在内存作为字节数组。如果使用密码,则必须转换密码 通过适当的密码库密钥派生函数到密钥。
为防止您的 Web 应用泄露敏感数据,请确保不以明文形式发送密码。通过检查公开的 git 和 Apache Subversion 源代码库,避免泄露可能造成破坏的原始源代码。这些扫描旨在涵盖特定 OWASP 十大控制措施。
A01:2021-访问控制中断
A02:A02:2021-Cryptographic Failures
A03:2021-injection
A04:2021-不安全设计
A05:2021-安全配置错误
相关文章:
OWASP Top 10 网络安全10大漏洞——A02:A02:2021-加密机制失效
10大Web应用程序安全风险 2021年top10中有三个新类别、四个类别的命名和范围变化,以及一些合并。 A02:A02:2021-加密机制失效 上升一个位置,当前top2,以前称为敏感数据泄露,是一种状况而不是根本原因。更新后的类别…...
2024-3-11-C++作业
1>试编程 要求: 提示并输入一个字符串,统计该字符中大写、小写字母个数、数字个数、空格个数以及其他字符个数 源代码: #include <iostream>using namespace std;int main() {string s;cout << "请输入字符串:"…...
Spring Boot 实现文件本地以及OSS上传
Spring Boot 实现文件上传 Maven依赖 <dependency><groupId>com.aliyun.oss</groupId><artifactId>aliyun-sdk-oss</artifactId><version>3.15.1</version> </dependency>上传到本地 package yang.controller;import java.…...
如何选择一家优秀的APP开发公司?
在移动应用市场的激烈竞争中,选择一家合适的APP开发公司至关重要。然而,仅仅选择了一家公司并不足以确保项目的成功。本文将为您详细介绍选择好APP开发公司后,还应该注意的关键因素,并引入虎克技术公司的以往合作客户的过程中给出…...
【美团笔试】20240309—春招、暑期实习实习笔试
【美团笔试】20240309—春招实习笔试真题 文章目录 【美团笔试】20240309—春招实习笔试真题1. 小美的MT2. 小美的数组询问3. 小美的平衡矩阵(前缀和)4. 小美的区间删除5. 小美的朋友关系参考1. 小美的MT MT 是美团的缩写,因此小美很喜欢这两个字母。现在小美拿到了一个仅由…...
4-LINUX--文件操作命令
一、文件查看命令 1. cat 1.1 查看文件内容,示例如下: 1.2 合并文件,示例如下: 1.3 往文件中写入数据, Ctrld 是结束输入,示例如下: 2. more 当一个文件的内容超过一个屏幕能显示的行数…...
浏览器缓存 四种缓存分类 两种缓存类型
浏览器缓存 本文主要包含以下内容: 什么是浏览器缓存按照缓存位置分类 Service WorkerMemory CacheDisk CachePush Cache 按照缓存类型分类 强制缓存协商缓存 缓存读取规则浏览器行为 什么是浏览器缓存 在正式开始讲解浏览器缓存之前,我们先来回顾一…...
html5cssjs代码 003 50以内的乘法算式
html5&css&js代码 003 50以内的乘法算式 一、代码二、解释 综合应用代码示例。50以内的乘法算式。 一、代码 <!DOCTYPE html> <html lang"en"> <head><title>20以内的乘法</title><meta charset"UTF-8"><…...
安全先行,合规的内外网文件摆渡要重点关注什么?
内外网隔离在政府、军工部门、科研单位等已成为很常见的网络安全建设措施,内外网隔离是一种网络安全措施,用于保护内部网络免受外部网络的攻击和威胁。 内外网隔离的目的在于限制内外网之间的通信和数据交换,但网络隔离后,仍有数据…...
python:牛客NP9---16进制数字大小
文章目录 一、题意描述输入描述:输出描述: 二、代码1.代码的实现2.读入数据 总结 一、题意 描述 计算的世界,除了二进制与十进制,使用最多的就是十六进制了,现在使用input读入一个十六进制的数字,输出它的…...
【惠友小课堂】你玉米几几呀?关爱青少年骨骼健康,助力“神兽”成长
玉 米 几 几 “你玉米几几呀”这是什么梗?怎么突然火了? 起因是一位来自云南的网友有金记录真实生活,在社交媒体平台上发布了一则视频,视频中字幕“玉米六六”实际上是对“一米六六”身高的一种谐音替换,这种创意表…...
【办公类-21-09】三级育婴师 视频转文字docx(等线小五单倍行距),批量改成“宋体小四、1.5倍行距、蓝色字体”
作品展示: 背景需求: 一、视频处理 1、育婴师培训的现场视频 2、下载视频,将视频换成考题名称 二、音频 视频用格式工厂转成MP3音频 3、转文字doc 把音频放入“网易云见外工作台”转换为“文字" 等待5分钟,音频文字会被写…...
Unity DropDown 组件 详解
Unity版本 2022.3.13f1 Dropdown下拉菜单可以快速创建大量选项 一、 Dropwon属性详解 属性:功能:Interactable此组件是否接受输入?请参阅 Interactable。Transition确定控件以何种方式对用户操作进行可视化响应的属性。请参阅过渡选项。Nav…...
Spring AOP常见面试题
目录 一、对于AOP的理解 二、Spring是如何实现AOP的 1、execution表达式 2、annotation 3、基于Spring API,通过xml配置的方式。 4、基于代理实现 三、Spring AOP的实现原理 四、Spring是如何选择使用哪种动态代理 1、Spring Framework 2、Spring Boot 五…...
Java学习笔记14——常量与变量
曾和儿子分享过所谓计算机程序,都是编写代码进行“数据处理和处理数据”而已。任何编程语言编写何种应用,数据都必须以某种方式表示。掌握变量和常量的用法,可以使代码的可维护性、可读性大大提高。 一、常量 常量就是在程序中固定不变的量…...
代码随想录算法训练营第四十四天 | 卡码网52. 携带研究材料 ,LeetCode 518. 零钱兑换 II , 377. 组合总和 Ⅳ
题目链接:52. 携带研究材料(第七期模拟笔试) (kamacoder.com) #include<bits/stdc.h> using namespace std;int main(){ios::sync_with_stdio(false);cin.tie(0);cout.tie(0);int n,v;cin>>n>>v;vector<int> dp(v1,…...
Android Kotlin知识汇总(四)Kotlin 协程实践
Kotlin的重要优势及特点之——结构化并发 Kotlin 协程是一种并发设计模式,可以在 Android 平台上让异步代码像阻塞代码一样易于使用。协程可大幅简化后台任务管理,例如网络调用、本地数据访问等任务的管理。 简单来说,协程就是一种轻量级的非…...
python基础篇--学习记录2
1.深浅拷贝 l1 ["张大仙","徐凤年",["李淳刚","邓太阿"]] # 变量名对应的就是内存地址,这里就是将l1的内存地址给了l2 # 现在两个变量指向同一个内存地址,l1变化l2也会变化 l2 l1 现在的需求是l2是l1的拷贝版本,但是两者是完全分割…...
自动化运维工具Ansible
一.Ansible基本内容 1.定义 Ansible是基于模块工作的,只是提供了一种运行框架,本身没有完成任务的能力,真正操作的是Anisble的模块。每个模块都是独立的、实现了批量系统配置、批量程序部署、批量运行命令等功能。 2.特点与优势 优势&…...
VR全景在智慧园区中的应用
VR全景如今以及广泛的应用于生产制造业、零售、展厅、房产等领域,如今720云VR全景更是在智慧园区的建设中,以其独特的优势,发挥着越来越重要的作用。VR全景作为打造智慧园区的重要角色和呈现方式已经受到了越来越多智慧园区企业的选择和应用。…...
WebMVC 和 WebFlux 架构选型
在 Java Web 开发领域,并发模型的演进是一个不断追求更高吞吐与更简单编程模型的过程。从早期 Servlet 的“一请求一线程”,到 Servlet 3.1 的异步非阻塞,再到 WebFlux 的响应式编程,每一次变革都提升了并发能力,却也增…...
终极指南:在Apple Silicon Mac上修复Fiji启动失败问题
终极指南:在Apple Silicon Mac上修复Fiji启动失败问题 【免费下载链接】fiji A "batteries-included" distribution of ImageJ :battery: 项目地址: https://gitcode.com/gh_mirrors/fi/fiji Fiji作为一款"开箱即用"的ImageJ发行版&…...
Gemini + Claude写论文已经无人能敌了
写论文最耗精力的不是动笔,而是前期文献整理、框架搭建和后期反复修改。这套方法的核心是让不同AI各取所长,加速机械性工作,把时间留给真正需要思考的部分。工具分工:Gemini擅长信息检索和批量处理,适合前期文献梳理&a…...
终极鸣潮自动化指南:如何用OK-WW轻松实现后台自动战斗与声骸刷取
终极鸣潮自动化指南:如何用OK-WW轻松实现后台自动战斗与声骸刷取 【免费下载链接】ok-wuthering-waves 鸣潮 后台自动战斗 自动刷声骸 一键日常 Automation for Wuthering Waves 项目地址: https://gitcode.com/GitHub_Trending/ok/ok-wuthering-waves 作为《…...
)
Ostrakon-VL终端惊艳效果:像素UI下支持键盘快捷键(F5刷新/F6扫描)
Ostrakon-VL终端惊艳效果:像素UI下支持键盘快捷键(F5刷新/F6扫描) 1. 像素特工终端概览 这是一个基于Ostrakon-VL-8B多模态大模型开发的Web交互终端,专为零售与餐饮场景优化。与传统工业级UI不同,我们采用了高饱和度…...
gte-base-zh模型Java集成开发指南:SpringBoot构建语义搜索服务
gte-base-zh模型Java集成开发指南:SpringBoot构建语义搜索服务 你是不是也遇到过这样的问题?公司内部有海量的文档、产品说明或者用户反馈,想快速找到相关内容,用关键词搜索总是不准,要么搜不全,要么搜出一…...
A20B-8200-0927控制器模块
A20B-8200-0927控制器模块是一款面向工业自动化与数控系统应用的关键控制单元,具备良好的数据处理能力与系统协调性能,能够在复杂工况下实现稳定可靠的设备控制,广泛应用于自动化产线及数控设备中。采用高性能处理架构,提升整体运…...
浏览器神器Tampermonkey:手把手教你安装和使用4款必备油猴脚本
Tampermonkey进阶指南:解锁浏览器潜能的4个实战脚本方案 每次遇到网页限制复制、强制登录、内容折叠这些烦人的设计时,我都习惯性地点开浏览器右上角那个猴子图标。作为从业十年的前端开发者,我可以负责任地说:Tampermonkey是浏览…...
)
告别环境冲突!VSCode里用IDF插件轻松管理多个ESP-IDF版本(5.3/4.4自由切换)
多版本ESP-IDF项目管理实战:VSCode高效工作流全解析 当你的工作台同时躺着基于ESP-IDF 5.3的智能家居网关和基于4.4版本的工业传感器项目时,每次切换都需要重新配置环境参数吗?作为经历过这种折磨的开发者,我想分享一套经过实战检…...
【自然语言处理 NLP】7.1.2 表示工程与推理监控
目录 7.1.2.1 表示工程(Representation Engineering, RepE) 7.1.2.2 思维链忠实性评估 7.1.2.3 模型内部搜索机制 第二部分:结构化伪代码 算法6:Control Vectors提取与ActAdd干预 算法7:CoT逻辑一致性验证 算法8…...