授权协议 未知
开发语言
操作系统 未知
软件类型 开源软件
所属分类 管理和监控安全相关
开源组织
地区 不详
投 递 者 红薯
适用人群 未知
收录时间 2009-03-25

软件简介

OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织,目前全球有82个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期 致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。由于应用范围日广,网页应用安全已经逐渐的受到重视,并渐渐成为在安全领域的一个热门话 题,在此同时,骇客们也悄悄的将焦点转移到网页应用程式开发时所会产生的弱点来进行攻击与破坏。

美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、美国国防部亦列为最佳实务,国际信用卡资料安全 技术PCI标准更将其列为必要元件。目前OWASP有30多个进行中的计画,包括最知名的OWASP Top 10(十大Web弱点)、WebGoat(代罪羔羊)练习平台、安全PHP/Java/ASP.Net等计画,针对不同的软体安全问题在进行讨论与研究。

当贵单位决定开放网页服务时,就必须让来自于全球的网页请求进入单位内部的网页伺服器。骇客可以藉由隐藏在合法的网页请求内,通过防火墙、入侵侦 测系统或其他防御系统的侦测,堂而皇之的进入单位内部或藉由单位网站充当跳板与中继站而向其他受害者发动攻击。这意味着企业的网页程式码也必须成为机关 (构)单位周边的安全防护之一,当单位网页服务的规模与复杂性增加时,单位暴露于外的风险也逐渐增加。

展开阅读全文

评论 (1)

加载中
有人用过没有???? OWASP
2014/05/22 17:07
回复
举报
更多评论
发表于DevOps专区
2018/09/06 08:10

OWASP 创始人:关注首要问题,开源库也可以放心使用

Veracode 的战略 VP,同时也是 OWASP 创始人的 Mark Curphey 在一次关于开源软件库的使用和风险的会议上表示,我们正处于应用安全的根本转折点上。 他认为这种转变源于三大趋势: 云:使用云将从根本上改变我们对安全性的看法。 开源的应用:与云类似,向开源的转变既会带来更大的安全风险,同时也会带来改变和提高安全性的机会。当每个开发者都使用同一个资源时,大家会专注于保护这一个资源,这会使得其安全性大大提高。 DevO...

0
0
发表了资讯
2017/11/23 08:13

OWASP 发布了 2017 年十大 Web 应用安全风险

OWASP 发布了 2017 年前十大 Web 应用安全风险 开放 Web 应用安全项目组织(OWASP)正式发布了十大最关键的Web应用安全风险。这是该组织自2013年以来的首次更新。 “由于过去四年 Web 应用程序的快速发展,OWASP Top 10 也需要改变了。我们利用了一个新的数据调用流程,修改了方法,完全重构了OWASP Top 10。我们与社区合作,重新排列安全风险,并且引用了现在常用的框架和语言重写了每个风险。“OWASP 写道。 根据OWASP的统计,...

6
26
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
发表于开发技能专区
2020/11/13 19:52

OWASP Top Ten

The OWASP Top 10 is a standard awareness document for developers and web application security. It represents a broad consensus about the most critical security risks to web applications. Globally recognized by developers as the first step towards more secure coding. Companies should adopt this document and start the process of ensuring that their web applications minimize these risks. Using the...

0
0
发表了博客
2020/11/24 22:51

OWASP-安装

0xx1 安装 下载 https://sourceforge.net/projects/owaspbwa/files/选择合适的版本下载 下载完成后解压缩,然后用VMware虚拟机打开即可 0xx2 使用 OWASP Broken Web Applications Project是OWASP出品的一款基于虚拟机的渗透测试演练工具,因为包含诸多漏洞,所以建议在”host only” 或NAT模式下使用,可以使用SSH,Samba,或者10.10.10.129/phpmyadmin 来管理 一般情况下,默认的用户名为”root”密码为”owaspbwa” 直接访问IP地址会...

0
1
发表了博客
2019/02/20 11:54

OWASP TOP 10

学习 备份 TOP1-注入 简单来说,注入往往是应用程序缺少对输入进行安全型检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见的注入包括sql注入,--os-shell,LDAP(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言),HQL注入等。 危害如下: 注入可以导致数据丢失或被破坏,缺乏可审计性或拒绝服务。注...

0
1
发表了博客
2019/07/04 21:26

OWASP_ZAP(上)

关于流量代理劫持的软件通常用到的有brupsuite(用法网上很多,不赘叙)和下面要说的owasp_zap 本人觉得zap更易被小白接受,因为用法和brupsuite比更傻瓜式一些,下面分为几点进行阐述 代理设置: 我设置的8082端口(防止和burpsuite默认8080冲突) 浏览器对应的代理也设置为8082,过程略 证书设置: CA的设置也是进入选项选择: 保存之后,同样在浏览器进行设置(略) 更新设置: 进入zap默认先看插件是否需要更新 最上面红圈为插件图...

0
0
发表了博客
2019/05/26 21:17

OWASP靶机搭建

owasp靶机应该是每个渗透入门乃至一些高手的一个试炼地之一,以下是我在靶机上搭建虚拟的方法。 1.虚拟机安装 在这里我用的是VMware14,靶机自然也是VM的。 软件安装基本也是没有什么可讲的,安装过程中电脑重启为正常程序。 百度云盘传送门【2c4j】 2.owasp靶机下载 下载链接 3.owasp靶机打开 在第二步链接打开之后,将会下载到一个文件 将其解压之后先放着,所放的盘建议有10G以上的内存。 然后打开虚拟机软件,点击主页上的打...

0
0
发表了博客
2019/07/04 21:27

OWASP_ZAP(下)

扫描策略: 查看进度: CSRF token 随机数: 筛选过滤: 身份认证: 截断: 显示隐藏域:(查看网页dispaly选项为隐藏,多数在客户端) 工作流程: 1.设置代理 2.手动爬网,将目标网站的所有功能全部触发一遍 3.再次进行自动爬网 4.爬网完成,就可以进行主动扫描,查看警报

0
0
发表了博客
2019/09/14 15:00

OWASP TOP 10(OWASP十大应用安全风险)

TOP1-注入 当不受信任的数据作为命令或查询的一部分发送到解释器时,会发生注入漏洞,例如SQL,NoSQL,OS,LDAP注入(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言),HQL注入等。 危害如下: 注入可以导致数据丢失或被破坏,缺乏可审计性或拒绝服务。注入漏洞有时甚至可导致完全接管主机。 如何防范: 1.使用安全的API,避免使用解释器 2.对输入的...

0
0
发表了博客
2019/04/11 21:37

OWASP Top 10 2017年

《OWASP Top 10》的首要目的是教导开发人员、设计人员、架构师、管理人员和企业组织,让他们认识到最严重Web应用程序安全弱点所产生的后果。Top 10提供了防止这些高风险问题发生的基本方法,并为获得这些方法的提供了指引. 详细解释: A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、O注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行...

0
0
发表于开发技能专区
2020/11/13 19:51

OWASP 十大漏洞

A1 注入 Injection 攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入漏洞通常能SQL查询、LDAP查询、OS命令、程序参数等中出现。 防范: 1.使用安全的API,避免使用解释器或提供参数化的接口(prepared statements,or stored procedures) 2.使用白名单来规范化的输入验证方法 3.对输入的特殊字符进行Escape转义处理 4.权限最小化,减轻被...

0
0
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
暂无内容
1 评论
21 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部