• 乌云TOP 10 简单介绍


    已知OWASP TOP10的WEB漏洞,乌云出了一个更加符合中国国情的 乌云:Top10 for 2014。 

      A1-互联网泄密事件/撞库攻击

      本质上来说是使用了不安全的口令,也许我可以将自己的密码设置的很复杂,别人破解不出来。但对于撞库攻击而言,可以说是不怕神一样的对手,就怕猪一样的队友。我们注册使用的网站或服务商他们保存了我们使用的密码,而很多时候被泄露出去了我们并不知道。这也是考验我们密码习惯的时候了,强密码+不同的密码,当然密码多了也难以记住,不行就借助软件或者普通账号用同一个密码,重要账号用不同密码吧

      A2-引用不安全的第三方应用

        举的例子是heart bleed漏洞使用的openssl,另外struts2的漏洞也还数见不鲜,其次就是CMS如wordpress使用的插件,当然shellshock也会有很多中枪的

      A3-系统错误/逻辑缺陷带来的暴力猜解

        暴力破解:没对请求和错误次数做限制;重放攻击同样是没做检验或限制

      A4-敏感信息/配置信息泄露

        包括但不限于目录遍历、日志、配置文件、svn目录、github或其他博客等地方

      A5-应用错误配置/默认配置

        包括但不限于默认路径、默认口令、目录穿越、任意文件下载等

      A6-SQL注入漏洞

      A7-XSS跨站脚本攻击/CSRF

      A8-未授权访问/权限绕过

        可匿名访问判断referer值后免登陆

      A9-账户体系控制不严/越权操作

      A10-内部重要资料/文档外泄

        还是信息泄露,但是做了区分,不同于应用或服务器的信息泄露,专指内部信息泄露.

  • 相关阅读:
  • 原文地址:https://www.cnblogs.com/bob-wzb/p/4917292.html
  • 最新文章
  • 热门文章
一二三 - 开发者的网上家园