OWASP—Top10(2021知识总结)
OWASP—Top10(2021知识总结)OWASP top102021年版TOP 10产生三个新类别,且进行了一些整合
考虑到应关注根本原因而不是症状。
A01:失效的访问控制 从第五位上升称为Web应用程序安全风险最严重的类别,常见的CWE包括:将敏感信息泄露给未经授权的参与者、通过发送的数据泄露敏感信息、跨站请求伪造(csrf)
风险说明: 访问强制实施策略,使用户无法在其预期权限之外操作。失败的访问控制通常导致未经授权的信息泄露,修改或者销毁所有数据,或在用户权限之外执行业务功能。
常见的访问控制脆弱点:
违法最小权限原则或默认拒绝原则,即访问权限应只授予特定能力、角色或用户,但实际上任何人都可以访问
通过修改URL(参数修改或强制浏览),内部应用程序状态或者HTML页面,或者使用修改API请求的攻击工具绕过访问控制检查
通过提供唯一的标识符允许查看或编辑他人账户
API没有对POST、PUT和DELETE强制执行访问控制
特权提升,在未登陆的情况下假扮用户或以用户身份登入时充当管理员
…
预防措施开发人员和QA人员应进行访问控制功能的单元测试和集成测试
访问控制只在受信 ...
pikachu靶场通关
pikachu靶场通关一、靶场介绍靶场源码链接:GitHub:https://github.com/zhuifengshaonianhanlu/pikachu靶场漏洞介绍:
二、靶场配置先安装phpstudey,在GitHub上下载源码,放在phpstudy的www(网站)目录下,完成配置与初始化。靶场搭建链接(内含phpstudy与pikachu的配置):https://blog.csdn.net/weixin_42474304/article/details/117533788
三、靶场实战3.1 暴力破解漏洞3.1.1暴力破解攻击&暴力破解漏洞概述对暴力破解的理解:暴力破解=连续性的尝试+字典+自动化。其实就是去猜可能的密码,经过不断的试账号和密码,找出正确的账号密码,达到暴力破解的目的。最重要的部分就是字典,一个好的字典可以大大加快破解速度。
常用的账号密码(弱口令),比较常用的账号密码,系统初始设定的账号密码,比如常用用户名/密码TOP 500等。
互联网上被脱裤后账号密码(社工库) ,差不多就是撞库,也就是拿已知的一个库去尝试登录另外一个库。比 ...
Devosp
DevOps一、DevOps介绍软件开发最开始是由两个团队组成:
开发计划由开发团队从头开始设计和整体系统的构建。需要系统不停的迭代更新。
运维团队将开发团队的Code进行测试后部署上线。希望系统稳定安全运行。
这看似两个目标不同的团队需要协同完成一个软件的开发。
在开发团队指定好计划并完成coding后,需要提供到运维团队。
运维团队向开发团队反馈需要修复的BUG以及一些需要返工的任务。
这时开发团队需要经常等待运维团队的反馈。这无疑延长了事件并推迟了整个软件开发的周期。
会有一种方式,在开发团队等待的时候,让开发团队转移到下一个项目中。等待运维团队为之前的代码提供反馈。
可是这样就意味着一个完整的项目需要一个更长的周期才可以开发出最终代码。
基于现在的互联网现状,更推崇敏捷式开发,这样就导致项目的迭代速度更快,但是由于开发团队与运维团队的沟通问题,会导致新版本上线的时间成本很高。这又违背的敏捷式开发的最初的目的。
那么如果让开发团队和运维团队整合到成一个团队,协同应对一套软件呢?这就被称为DevOps。
DevOps,字面意思是Development &Operati ...
每日一靶:hack-the-lampsecurity-ctf4-ctf-challenge!
朋友们,大家好!今天,我们将进行另一个称为LAMPSecurity CTF4的CTF挑战,这是另一个为实践提供的boot2root挑战,其安全级别适用于初学者。因此,让我们尝试突破它。但在此之前请注意,您可以从这里下载它 https://www.vulnhub.com/entry/lampsecurity-ctf4,83/
渗透方法
网络扫描(Nmap、网络发现)
网上冲浪 HTTP 服务端口 (80)
SQLMAP 扫描
提取数据库和用户凭据
通过 SSH 登录到目标计算机
使用 SUDO 二进制文件利用目标
获取根访问权限
演练让我们从扫描网络开始,找到我们的目标。
我们找到了目标 ->192.168.88.2
我们的下一步是使用NMAP扫描我们的目标:
1nmap -A 192.168.1.103
寄了,本来教程上是能扫出来靶机IP的,但是我自己实际操作,根本扫不出来靶机IP,是因为这是09年的靶机太老了吗?
算了,先搁置吧,等以后有能力了再回来处理.
出师未捷身先死,扫不到靶机IP,128是kali的ip,129是win10的ip.DHCP是从12 ...
kali的常用命令
kali的常用命令1.常用命令passwd 修改密码
passwd root 修改root用户密码
date 显示系统日期
sudo 后面加命令 就可以调用管理权限
apt-get update 更新软件列表
这个命令,会访问源列表里的每个网址,并读取软件列表,然后保存在本地电脑。我们在新立得软件包管理器里看到的软件列表,都是通过update命令更新的。
apt-get upgrade 更新软件
这个命令,会把本地已安装的软件,与刚下载的软件列表里对应软件进行对比,如果发现已安装的软件版本太低,就会提示你更新。如果你的软件都是最新版本,会提示: 升级了 0 个软件包,新安装了 0 个软件包,要卸载 0 个软件包,有 0 个软件包未被升级。
apt-get dist-upgrade 更新软件
apt-get upgrade 与 apt-get dist-upgrade 的区别
upgrade:系统将现有的Package升级,如果有相依性的问题,而此相依性需要安装其它新的Package或影响到其它Package的相依性时,此Package就不会被升级,会保留下来.
dist-upgra ...
docker-compose安装,并搭建Vulhub靶场
docker-compose安装1. 安装docker1234567891011121314# 查看有没有安装旧版本的[root@localhost ~]# yum remove docker docker-common docker-selinux docker-engine# 安装依赖软件包[root@localhost ~]# yum install -y yum-utils device-mapper-persistent-data lvm2# 设置yum源[root@localhost ~]# yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo# 查看所有docker版本[root@localhost ~]# yum list docker-ce --showduplicates | sort -r# 安装[root@localhost ~]# yum install docker-ce -y# 查看版本[root@localhost ~]# ...
owasp top10
希望你能在历经磨难后 依旧继续从容向前
才不会辜负那些漫漫长夜中褶褶生辉的旧时光
版权归属:0x00实验室
0x00.基础
00-TOP10漏洞123456789101.SQL注入2.失效的身份认证和会话管理3.跨站脚本攻击XSS4.直接引用不安全的对象5.安全配置错误6.敏感信息泄露7.缺少功能级的访问控制8.跨站请求伪造CSRF9.实验含有已知漏洞的组件10.未验证的重定向和转发
01-SQL注入漏洞12345678910111213141516171819202122232425262728293031原理:产生SQL注入漏洞的根本原因在于代码中没有对用户输入项进行验证和处理便直接拼接到查询语句中。利用SQL注入漏洞,攻击者可以在应用的查询语句中插入自己的SQL代码并传递给后台SQL服务器时加以解析并执行。 分类: 1.显注 2.盲注(无回显): 时间型、布尔型、报错型 危害:1.数据库信息泄露2.网页篡改3.网站被挂马,传播恶意软件4.数据库被恶意操作5.服务器被植入后门6.破坏硬盘或者服务器等硬件设备如何进行SQL注入的防御1.关闭应用的错误提示 2 ...
从零开始搭建pcrjjcbot
从零开始搭建pcrjjcbot首先准备一台Centos7的国外主机将系统自带的python2.7更换成python3.8Centos7安装python3.8详细教程
安装编译相关工具
123yum -y groupinstall "Development tools"yum -y install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel tk-devel gdbm-devel db4-devel libpcap-devel xz-develyum install libffi-devel -y
下载python安装包
12wget https://www.python.org/ftp/python/3.8.3/Python-3.8.3.tgztar -zxvf Python-3.8.3.tgz
编译安装python
1234mkdir /usr/local/python3 #创建编译安装目录cd Python-3.8.3./configure - ...
Centos7.6搭建hexo+butterfly
Centos7.6搭建hexo+butterfly1. 配置Node.js1. node.js的安装123456789101112wget https://nodejs.org/dist/v14.17.4/node-v14.17.4-linux-x64.tar.xztar -xvf node-v14.17.4-linux-x64.tar.xz# 移动目录mv node-v14.17.4-linux-x64 /usr/local/nodejs# 添加系统变量echo "export PATH=$PATH:/usr/local/nodejs/bin" >> /etc/profile# 刷新系统变量source /etc/profile# 查看node的版本node -v# 查看npm的版本npm -v
2. git的安装1yum -y install git
3. 安装cnpm123npm install -g cnpm --registry=https://registry.npm.taobao.org#验证是否安装成功cnpm -v
2. ...