Web安全
基础漏洞
01前端基础【HTML】
02前端基础【CSS】
03后端基础【PHP速通】
04后端基础【PHP面向对象】
05MySQL基础操作
06前后端联动【代码练习】
07SQL注入【1】
07SQL 注入【2】
08SQL注入 Labs
08SQL注入速查表
09XSS
09跨站脚本攻击【XSS】
09XSS Labs
10跨站请求伪造【CSRF】
11服务器端请求伪造【SSRF】
12XML 外部实体注入【XXE】
13代码执行漏洞
14命令执行漏洞
15文件包含漏洞
16文件上传漏洞
17反序列化漏洞
18业务逻辑漏洞
19未授权访问漏洞集合
20跨源资源共享【CORS】
21SSTI模板注入
22并发漏洞
23点击劫持【Clickjacking 】
24请求走私
25路径遍历
26访问控制
27身份验证漏洞
28WebSocket
29Web缓存中毒
30HTTP 主机头攻击
31信息泄露漏洞
32原型污染
33NoSQL注入
API 安全
01web应用程序
02HTTP协议
03API概述
04分类类型
05交换格式
06身份验证
07常见API漏洞
08crAPI靶场
09JWT
10OAuth 2.0身份验证
11GraphQL【1】
11GraphQL【2】
12DVGA靶场
13服务器端参数污染
14API文档
15API Labs
16OAuth Labs
17GraphQL API Labs
18JWT Labs
小程序
小程序抓包
数据库
MySQL
Oracle
MongoDB
Redis
PostgreSQL
SQL server
中间件
Nginx
Apache HTTP Server
IIS
Tomcat
框架
ThinkPHP
Spring
Spring Boot
Django
访问控制
-
+
首页
基础漏洞
要理解 Web 安全,首先需要掌握基础漏洞的本质(即 Web 应用在设计、开发、部署中存在的安全缺陷),而OWASP Top 10是行业公认的、基于真实攻击数据的 “高风险 Web 漏洞优先级排名”,是理解 Web 安全核心风险的核心框架。  OWASP(开放 Web 应用安全项目,Open Web Application Security Project)是全球最权威的 Web 安全组织,其每 3-4 年更新的《OWASP Top 10》基于全球真实攻击数据(如漏洞平台报告、安全厂商数据),筛选出 “对 Web 应用威胁最大、出现频率最高” 的 10 类漏洞,是开发者、安全测试人员的核心参考标准。 ## OWASP组织 **OWASP**(Open Web Application Security Project,开放 Web 应用安全项目)是全球最具影响力的非营利性安全组织,成立于 2001 年,2004 年正式注册为美国 501 (c)(3) 慈善机构。其核心使命是**通过教育、工具和协作,推动可信赖软件的开发与维护**,尤其聚焦于 Web 应用安全领域。截至 2024 年,OWASP 已拥有近 8000 名全球会员、数百个地区分会,以及覆盖开发者、安全专家、企业的庞大社区网络。 **中立性**:作为独立于商业利益的社区组织,OWASP 的研究成果和标准(如 Top 10)不受厂商偏见影响,被全球企业、政府机构广泛采用。 **实践性**:其项目(如 Top 10、ASVS 验证标准、ZAP 扫描工具)直接服务于软件开发和安全测试的全生命周期,帮助开发者识别高风险漏洞。 **全球协作**:通过 Slack、GitHub 等平台,OWASP 汇聚了来自微软、谷歌、亚马逊等企业的安全专家,确保技术指南与行业最新动态同步。 OWASP 的核心产出包括: - **OWASP Top 10**:每 3-4 年更新的 Web 应用高风险漏洞排名,2021 版涵盖注入、身份认证失效等十大威胁。 - **ASVS(应用安全验证标准)**:定义了从需求分析到部署的 200 + 安全验证点,指导企业构建安全开发流程。 - **工具库**:包括 ZAP(自动化漏洞扫描)、Dependency-Check(组件漏洞检测)等开源工具,帮助企业快速发现风险。 - **教育资源**:提供免费培训课程(如 Web 安全基础)、认证考试(如 OWASP 认证安全专家),培养专业人才。 **主官网:https://owasp.org/** ## OWASP Top 10 2021 以下是**OWASP Top 10 2021**的完整解析,每项均包含 “漏洞原理、典型危害、攻击示例、防御措施”: | 排名 | 漏洞类别(英文) | 核心说明 | | ---- | ------------------------------------------------------------ | ------------------------------------------------------------ | | 1 | 注入(Injection) | 最经典、危害最大的漏洞之一,因输入未过滤导致恶意代码被 Web 应用 “执行” | | 2 | 失效的身份认证(Broken Authentication) | 身份验证机制设计缺陷,导致攻击者可冒充他人登录(如暴力破解、会话劫持) | | 3 | 敏感信息泄露(Sensitive Data Exposure) | 敏感数据(如密码、银行卡号)未加密存储 / 传输,被攻击者窃取 | | 4 | XML 外部实体(XXE) | 处理 XML 数据时未禁用外部实体,导致攻击者读取文件、发起内网探测 | | 5 | 失效的访问控制(Broken Access Control) | 未严格限制用户权限,导致低权限用户可访问高权限数据(如越权查看他人订单) | | 6 | 安全配置错误(Security Misconfiguration) | 应用 / 服务器 / 数据库配置不当(如默认密码、开启调试模式),成为攻击入口 | | 7 | 跨站脚本(XSS) | 注入恶意脚本到 Web 页面,当其他用户访问时执行脚本(窃取 Cookie、伪造操作) | | 8 | 不安全的反序列化(Insecure Deserialization) | 反序列化过程中执行恶意代码,导致远程代码执行、服务器控制 | | 9 | 使用含有已知漏洞的组件(Using Components with Known Vulnerabilities) | 应用依赖的第三方组件(如框架、库)存在未修复的漏洞,被攻击者利用 | | 10 | 日志和监控不足(Insufficient Logging & Monitoring) | 未记录关键操作日志、监控不及时,导致攻击发生后无法溯源、止损 |
毛林
2025年9月12日 21:00
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
PDF文档(打印)
分享
链接
类型
密码
更新密码