• 2024-10-21modsecurity: 规则的体系三
    一,modsecurity规则的级别:paranoialevelmodsecurity根据规则可能存在的误报情况,设置了规则的级别,称之为PL(paranoialevel),共有4个级别,分别为1/2/3/4,级别越高,漏报越少,误报越多。用户可以根据实际业务情况适当调整,默认设置PL=1,可以在crs-setup.conf中设置配置文件:crs-setup.con
  • 2024-10-12OWASP juice-shop
    https://github.com/juice-shop/juice-shopNode.js,Chrome’sV8JavaScriptEngine,在Web浏览器之外平台构建成熟的JavaScript应用程序。应用程序配置文件应用程序端点:俗称路由,所谓的目录扫描node.js编译TypeScript代码得到JavaScript文件https://github.com/juice-
  • 2024-09-05OWASP TOP10 漏洞解析:访问控制崩溃
    一、定义访问控制崩溃,指的是访问控制策略没有被正确地执行,导致用户可以在他们的预期权限之外进行操作。这种缺陷通常会导致未授权的信息被泄露、修改、销毁,或者让用户执行了超出其权限限制的业务功能。表现形式,也就是我们常说的越权漏洞。越权分为:水平越权:A、B两个用户
  • 2024-09-05安全:modsecurity配置
    一,日志在哪里查看?#--Auditlogconfiguration-------------------------------------------------#Logthetransactionsthataremarkedbyarule,aswellasthosethat#triggeraservererror(determinedbya5xxor4xx,excluding404,#levelresponsesta
  • 2024-08-01信步漫谈之ZAP扫描工具——初识
    目录1OWASP2ZAP3ZAP的工作原理4ZAP的下载地址5ZAP的安装使用1OWASPOWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。OWASP被视为web应用安全领域的权威参考。美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。OWASP颁布
  • 2024-07-08Web 安全:OWASP TOP10 漏洞介绍
     OWASPTOP10漏洞是指由OpenWebApplicationSecurityProject(OWASP)发布的十大最严重、最普遍的Web应用程序安全漏洞。这些漏洞在当今的Web应用程序中非常普遍,而且具有很高的危害性。因此被视为web应用程序安全领域必须认真防范和修复的关键问题。而且大家去应聘安全测试岗
  • 2024-06-03OWASP API Security Top 10解读
    数字经济时代,无论是互联网商业创新还是传统企业数字化转型,都在推动API数量与应用范围的爆发式增长。从只用于企业内部服务调用的1.0时代,到面向服务架构的2.0时代,再到如今成为开放平台和云原生微服务的3.0时代,API正在成为数字世界的基础设施,在企业的业务体系中发挥着越来越重要
  • 2024-05-26OWASP Top 10 2021
    OWASPTOP10是开放式Web应用程序安全项目(OpenWebApplicationSecurityProject)发布的年度全球最严重的十大web应用程序安全风险。截止到目前,最近一次的发布时间是2021年(上一次发布是2017年)。A01:2021-失效的访问控制   A02:2021-加密机制失效   A03:2021-注
  • 2024-05-19OWASP-Hackademic-Challenges
    1.靶场安装靶场下载:https://code.google.com/archive/p/owasp-hackademic-challenges/downloads在phpstudy中搭建即可访问页面:2.OWASPHackademicChallenge–Challenge12.1.解题点击链接,进入靶场页面上没有什么有用的消息,查看页面源代码(Ctrl+U)可以找到不同显示页
  • 2024-04-18OWASP TOP 10
    OWASPTOP102021年版Top10有哪些变化?2021年版Top10产生了三个新类别,原有四个类别的命名和范围也发生了变化,且进行了一些整合。2017年TOP10top01:注入(2017-Injection)top02:失效的身份认证(2017-BrokenAuthentication)top03:敏感信息泄漏(2017-SensitiveDataExposure)
  • 2024-04-02docker-compose 部署OWASP Juice Shop + CTFd
    项目介绍1.OWASPJuiceShop原文OWASPJuiceShopisprobablythemostmodernandsophisticatedinsecurewebapplication!Itcanbeusedinsecuritytrainings,awarenessdemos,CTFsandasaguineapigforsecuritytools!JuiceShopencompassesvulnerabili
  • 2024-03-08网安云知识 | OWASP TOP 10之安全配置错误
    这些漏洞使攻击者能经常访问一些未授权的系统数据或功能。有时,这些漏洞导致系统的完全攻破。业务影响取决于您的应用程序和数据的保护需求。安全配置错误可能发生在应用程序堆栈的任何级别,包括网络服务、平台、Web服务器应用服务器、数据库、框架、自定义代码和预安装的虚拟机、
  • 2024-02-29OWASP TOP 10之使用含有已知漏洞的组件
     更多网络安全干货内容:点此获取———————这种安全漏洞非常普遍。基于组件开发的模式使得多数开发团队根本不了解其应用或API中使用的组件,更谈不上及时更新这些组件了。如Retire.js之类的扫描器可以但这类漏洞是否可以被利用还需花费额外的时间去研究。虽然对于一些已知
  • 2024-02-15【虚拟机新手起步02】4步完成OWASP靶机下载安装。
    OWASP靶机下载安装详细过程一、OWASP靶机下载二、OWASP解压三、OWASP安装四、OWASP启动运行一.OWASP靶机下载:https://sourceforge.net/projects/owaspbwa/files/二.OWASP解压保证磁盘容量有10G左右或以上,解压下载的OWASP压缩包解压缩完成:三.OWASP安装打开
  • 2024-02-04一文详解应用安全防护ESAPI
    本文分享自华为云社区《应用安全防护ESAPI》,作者:Uncle_Tom。1.ESAPI简介OWASPEnterpriseSecurityAPI(ESAPI)是一个免费、开源的web应用程序安全控制库,使程序员更容易编写风险较低的应用程序。ESAPI库旨在使程序员更容易对现有应用程序进行安全性改造。ESAPI库也是新开发的
  • 2024-01-31Kali学习笔记-03-部署OWASP靶机
    Kali学习笔记-03-部署OWASP靶机KaliLinux网络安防一、下载安装下载地址是https://sourceforge.net/projects/owaspbwa/files/。下载之后得到一个叫OWASP_Broken_Web_Apps_VM_1.2.7z的压缩文件。解压,然后在VMWare中打开解压后得到的虚拟机即可。二、登录在虚拟机的描述
  • 2024-01-22owasp top10之不安全的反序列化
    ​更多网络安全干货内容:点此获取———————一、什么是反序列化Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。将序列化对象写入文件之后,可以从文件中读取出来,
  • 2023-12-19Owasp Top10 漏洞解析 之注入
    一、注入漏洞是什么?注入漏洞,即将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命今或访问数据。几乎任何数据源都能成为注入载体,包括环境变量
  • 2023-12-15owasp-top10 2023 详解
    经典的TOP10漏洞 A1注入漏洞在2013、2017的版本中都是第一名,可见此漏洞的引入是多么的容易,同时也证明此漏洞的危害有多么严重。攻击方式利用应用程序弱点,通过恶意字符将恶意代码写入数据库,获取敏感数据或进一步在服务器执行命令。漏洞原因未审计的数据输入框使用网址直接传
  • 2023-12-10【靶场部署】一键搭建靶场OWASP Mutillidae II
    一、linux提前安装好docker二、安装过程一键安装dockerpullcitizenstig/nowasp 端口映射dockerrun-d-p9009:80citizenstig/nowasp最后浏览器访问即可(你的IP)http://IP地址:9009/index.php 确认即可 开始搞事情! 
  • 2023-08-17漏洞扫描是什么?怎么做?
     ​ 漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。漏洞扫描按扫描器所处位置,可分为内网扫描和外网扫描。而按照工作方式,又可以将漏洞扫描分为远程扫描和本地扫描
  • 2023-05-30OWASP移动应用安全测试指南中文版
    OWASP移动应用安全测试指南(MASTG)是OWASP移动应用安全(MAS)旗舰项目的一部分,是一本涵盖移动应用安全分析过程、技术和工具的综合手册,也是一套详尽的测试案例,用于验证OWASP移动应用安全验证标准(MASVS)中列出的要求,为完整和一致的安全测试提供一个基线。OWASPMASVS和MASTG得到了众多平
  • 2023-05-30OWASP移动应用安全测试指南中文版
    OWASP移动应用安全测试指南(MASTG)是OWASP移动应用安全(MAS)旗舰项目的一部分,是一本涵盖移动应用安全分析过程、技术和工具的综合手册,也是一套详尽的测试案例,用于验证OWASP移动应用安全验证标准(MASVS)中列出的要求,为完整和一致的安全测试提供一个基线。OWASPMASVS和MASTG得到了众多平
  • 2023-05-12推荐一款优秀免费的WAF防火墙
    随着科学技术的飞速发展,互联网技术也得以发展,它们被广泛应用于人们的工作及生活中。在给人们带来便利的同时,也受到了网络安全的威胁,如数据非授权访问、传输丢失及网络病毒入侵等。网络信息安全是企业中的一项重要生产资料,是提升企业竞争力、业务能力及创新能力的必要条件。相较于
  • 2023-03-27OWASP ZAP安全测试工具--安装
    OWASPZAP是世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测