当前位置：首页 > news >正文

网络安全练气篇——OWASP TOP 10

news 2025/10/25 16:17:36

1、什么是OWASP？

OWASP（开放式Web应用程序安全项目）是一个开放的社区，由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放，旨在提高对应用程序安全性的认识。
其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ，总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。
最重要的版本
应用程序中最严重的十大风险

2、TOP 10 分别是哪些？

1. SQL注入

攻击方式

通过恶意字符将恶意代码写入数据库，使其运行，产生敏感数据泄露，数据库读取，进一步在数据库执行命令

攻击类型

未审计的数据框架
直接使用网址URL直接传递变量
未过滤的特殊字符串
SQL错误回显
SQL注入
获取敏感信息进一步在服务器执行命令，实现接管服务器的目的

防护措施

关闭SQL错误回显
对输入的字符做转译处理
对前端输入做白名单验证（长度，类型）
使用一个成熟的WAF
白盒审计（代码审计）
SQL服务运行于专门的账号，并给予最小权限

2. 失效的身份认证

攻击方式

攻击者利用网站中身份认证缺陷，以此来获取高权限，攻击服务器

攻击类型

弱口令
盗用身份和账号
修改网络数据包以此获取用户账号权限
网站设计不良，可以绕过登录页面
设计者忘记设置注销登录，使之有机可乘

防护措施

网站的登录页面就使用加密连接
网站应该具体良好的权限控制与管理
网站应该具备超时注销机制

3. 敏感数据泄露

攻击方式

通过扫描发现应用程序有敏感信息

攻击类型

应用人员或者开发人员无意间上传敏感数据到Github，导致网站文件泄露
敏感数据文件设置错误，导致数据库备份文件泄露

防护措施

对于github泄露，定期对仓库进行扫描
对网站应用目录定期扫描

4. XML外部实体（XXE）

攻击方式

当应用程序解析XML文件时包含了对外部实体的的引用，通过构造恶意的XML代码，读取指定的服务器数据或资源。

攻击类型

读取服务器的数据或者资源 /etc/password
读取应用程序源码

防护措施

关闭DTD
禁止外部实体引入

5. 失效的访问控制

攻击方式

没有校验身份，直接导致攻击者绕过权限直接访问

攻击类型

绕过路径，如未读取的参数进行检查，导致路径绕过并进行读取敏感文件操作
权限提升，如未对权限进行检查，导致攻击者变更权限
垂直越权，导致攻击者可以从普通用户权限提升到管理员的用户权限
水平越权，导致攻击者可以从用户a的权限提升到用户b的权限

防护措施

对参数的白名单做过滤
对权限的控制管理重新设计与限制最小权限
限制下载文件的类型

6. 安全配置错误

攻击方式

攻击者利用错误的配置，访问敏感信息或者提升权限

目录遍历

攻击类型

开发或者维护人员设置了错误的配置，如 python 开发中对于 Django 框架在生产环境启用了 Debug 模式
目录遍历

防护措施

检查文件扩展名
重命名上传文件
控制上传文件的权限，如关闭权限
移除不常用的页面，如安装目录文件
移除临时文件，备份文件
不使用常用的、简单的命名规则，防止被猜测
定义白名单

7. 跨站脚本（XSS）

攻击方式

攻击者使用恶意字符嵌入应用程序代码中并运行，盗取应用程序数据

攻击类型

存储型XSS
DOM型XSS
反射型XSS

防护措施

验证输入/接收的字符，过滤或者替换非法字符
使用白名单机制

8. 不安全的反序列化

攻击方式

攻击者利用应用程序反序列化功能，构造恶意的反序列化对象攻击应用程序

攻击类型

远程代码执行RCE
注入攻击
越权
远程命令执行

防护措施

对数据对象签名，并作完整检查
数据对象中的数据做严格的类型检查，限制一部分恶意攻击
隔离反序列化操作环境，对序列化和反序列化进行白名单验证
在执行反序列化之前，对用户输入数据执行验证和过滤

9. 使用含有已知漏洞的组件

攻击方式

使用应用程序中的框架、库、组件、工具等已知漏洞攻击，获取高权限或者敏感数据

攻击类型

敏感信息泄露
提升权限
远程代码执行
SQL注入
反序列化
配置错误

防护措施

及时更新、修复组件漏洞
移除不再使用的依赖组件

10. 不足的日志记录和监控

攻击方式

对于日志记录的监控不足，导致攻击者攻击系统、应用、盗取数据等操作无法被及时发现和追查

攻击类型

日志不规范
监控告警不及时
日志分析于人员技能缺失

防护措施

规范化的日志设置，提供清晰易读的操作手册，以便于后期阅读和维护
优化监控策略和报警流程，建立完善的规则库，以便于触发相关告警，及时通知相关人员处理
加强人才培训和引进专业人才，安全意识培训，聘请专业经验丰富的加入团队，提高水平

网络安全练气篇——OWASP TOP 10

1、什么是OWASP？ OWASP（开放式Web应用程序安全项目）是一个开放的社区，由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放，旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重…...

编程日记 2024/6/20 5:48:29

python实现进度条的方法和实现代码

在Python中，有多种方式可以实现进度条。这里，我将介绍七种常见的方法：使用tqdm（这是一个外部库，非常流行且易于使用）、rich、click、progressbar2等库以及纯Python的print函数与time库来模拟进度条。目录…...

编程日记 2024/6/20 5:45:26

被拷打已老实！面试官问我 #{} 和 ${} 的区别是什么？

引言：在使用 MyBatis 进行数据库操作时，#{} 和 ${} 的区别是面试中常见的问题，对理解如何在 MyBatis 中安全有效地处理 SQL 语句至关重要。正确使用这两种占位符不仅影响应用的安全性，还涉及到性能优化。题目被拷打已老实&…...

编程日记 2024/6/20 5:44:24

C# —— while循环语句

作用让顺序执行的代码可以停下来循环执行某一代码块 // 条件分支语句: 让代码产生分支进行执行 // 循环语句 : 让代码可以重复执行语法 while循环 while (bool值) { 循环体(条件满足时执行的代码块) …...

编程日记 2024/6/20 5:42:21

力扣第205题“同构字符串”

在本篇文章中，我们将详细解读力扣第205题“同构字符串”。通过学习本篇文章，读者将掌握如何使用哈希表来解决这一问题，并了解相关的复杂度分析和模拟面试问答。每种方法都将配以详细的解释，以便于理解。问题描述力扣第205题“…...

编程日记 2024/6/20 5:41:20

探索RESTful API开发，构建可扩展的Web服务

介绍当我们浏览网页、使用手机应用或与各种互联网服务交互时，我们经常听到一个术语：“RESTful API”。它听起来很高深，但实际上，它是构建现代网络应用程序所不可或缺的基础。什么是RESTful API？ 让我们将RESTful …...

编程日记 2024/6/20 5:40:18

苹果安卓网页的H5封装成App的应用和原生开发的应用有什么不一样？

H5封装类成App的应用和原生应用有什么不一样？——一对比谈优缺点 1. 开发速度和复用性 H5封装的App优势：一次编写，多平台运行。你只需要使用一种语言编写代码，就可以发布到不同的平台，降低开发成本。原生应用优势&…...

编程日记 2024/6/20 5:38:16

字符流-->字符流的底层其实就是字节流 public class Stream {public static void main(String[] args) throws IOException {//1.创建对象并关联本地文件FileReader frnew FileReader("abc\\a.txt");//2.读取资源read()int ch;while((chfr.read())!-1){System.out…...

编程日记 2024/6/20 5:37:15

详解MySQL中的PERCENT_RANK函数

目录 1. 引入1. 基本使用2：分组使用3：处理重复值4. 使用优势4.1 手动计算百分等级4.2 使用 PERCENT_RANK 的优势4.3 使用 PERCENT_RANK 5. 总结在 MySQL 中，PERCENT_RANK 函数用于计算一个值在其分组中的百分等级。它的返回值范围是从 0 …...

编程日记 2024/6/20 5:36:13

宏任务与微任务

一、宏任务 1、概念指消息队列中等地被主线程执行的事件 2、种类 script主代码块、setTimeout 、setInterval 、nodejs的setImmediate 、MessageChannel（react的fiber用到）、postMessage、网络I/O、文件I/O、用户交互的回调等事件、UI渲染事件&#x…...

编程日记 2024/6/20 5:33:09

昇思大模型学习·第一天

mindspore快速入门回顾导入mindspore包处理数据集下载mnist数据集进行数据集预处理 MnistDataset()方法train_dataset.get_col_names() 打印列名信息使用create_tuple_iterator 或create_dict_iterator对数据集进行迭代访问网络构建 mindspore.nn: 构建所有网络的基类用…...

编程日记 2024/6/20 5:32:08

python调用chatgpt

简单写了一下关于文本生成接口的调用，其余更多的调用方法可在官网查看 import os from dotenv import load_dotenv, find_dotenv from openai import OpenAI import httpxdef gpt_config():# 为了安全起见，将key写到当前项目根目录下的.env文件中# find…...

编程日记 2024/6/20 5:31:07

YOLOV8 目标检测：训练自定义数据集

1、下载 yolov8项目：ultralytics/ultralytics：新增 - PyTorch 中的 YOLOv8 🚀 > ONNX > OpenVINO > CoreML > TFLite --- ultralytics/ultralytics: NEW - YOLOv8 🚀 in PyTorch > ONNX > OpenVINO > CoreM…...

编程日记 2024/6/20 5:30:05

动态更新自建的Redis连接池连接数量

/*** 定时更新Redis连接池信息，防止资源让费*/private static final ScheduledThreadPoolExecutor DYNAMICALLY_UPDATE_REDIS_POOL_THREAD new ScheduledThreadPoolExecutor(1, new ThreadFactory() {Overridepublic Thread newThread(Runnable r) {Thread thread …...

编程日记 2024/6/20 5:29:04

浅谈设计师的设计地位

在当今这个创意无限的时代，设计师的地位日益凸显。他们以独特的视角和精湛的技能，为我们的生活带来了无尽的色彩与灵感。然而，随着行业的不断发展，设计师如何在众多同行中脱颖而出，提升自己的设计地位呢？答…...

编程日记 2024/6/20 5:28:02

C/C++ string模拟实现

1.模拟准备 1.1因为是模拟string，防止与库发生冲突，所以需要命名空间namespace隔离一下，我们来看一下基本内容 namespace yx {class string{private://char _buff[16]; lunix下小于16字节就存buff里char* _str;size_t _size;size_t _capac…...

编程日记 2024/6/20 5:27:01

微信小程序学习（八）：behaviors代码复用

小程序的 behaviors 方法是一种代码复用的方式，可以将一些通用的逻辑和方法提取出来，然后在多个组件中复用，从而减少代码冗余，提高代码的可维护性。如果需要 behavior 复用代码，需要使用 Behavior() 方法&#xff0c…...

编程日记 2024/6/20 5:26:00

【The design pattern of Attribute-Based Dynamic Routing Pattern (ADRP)】

In ASP.NET Core, routing is one of the core functionalities that maps HTTP requests to the corresponding controller actions. While “Route-Driven Design Pattern” is a coined name for a design pattern, we can construct a routing-centric design pattern base…...

编程日记 2024/6/20 5:24:59

1、什么是OWASP？

2、TOP 10 分别是哪些？

1. SQL注入

攻击方式

攻击类型

防护措施

2. 失效的身份认证

攻击方式

攻击类型

防护措施

3. 敏感数据泄露

攻击方式

攻击类型

防护措施

4. XML外部实体（XXE）

攻击方式

攻击类型

防护措施

5. 失效的访问控制

攻击方式

攻击类型

防护措施

6. 安全配置错误

攻击方式

攻击类型

防护措施

7. 跨站脚本（XSS）

攻击方式

攻击类型

防护措施

8. 不安全的反序列化

攻击方式

攻击类型

防护措施

9. 使用含有已知漏洞的组件

攻击方式

攻击类型

防护措施

10. 不足的日志记录和监控

攻击方式

攻击类型

防护措施

相关文章：