警告!
Security2021年9月9日发布十大Web使用网页和安全漏洞cookies写漏洞的跨站脚本攻击(XSS)高居榜首。
开放网络软件安全计划(开放网络应用安全计划)
Project,OWASP)今天,台湾省分公司公布了2021年十大网络安全漏洞,这些漏洞发生在年初著名的文档阅读器上Adobe Acrobat中。
跨站脚本,XSS)阅读器排名第一。
上周,人怀疑微软英国网站被加密代码攻击(注入漏洞,包括SQL注入和命令
其次,第三种是注入)Web恶意文件执行(恶意文件执行)引入外部恶意程序。
OWASP台湾省分会主席黄耀文在新闻稿中表示,安全漏洞报告是由OWASP资深安全专家依据Web安全漏洞的严重程度,是否容易被黑客选中,可作为网站开发者开发的安全参考。
随着Web 2.0的普及,新的Web应用开发及相关技术(如AJAX)该应用程序已成为该网站惊人胜利的关键。然而,当网站运营商争相提供创新时web服务时,web应用程序的安全性也成为一个新问题。
台湾省技术顾问简指出,大部分漏洞,包括跨站脚本攻击和数据隐藏代码攻击,都是由于web应用程序编写不当,使黑客容易受到攻击。
他认为,大多数人认为,他认为,web应用程序开发人员缺乏与安全相关的培训可能会导致开发程序的漏洞,导致黑客入侵、篡改、植入恶意程序或窃取数据。他认为,企业web开发者在开发web程序要更加严格,避免类似事件再次发生。
他以6月底意大利和其他欧洲国家的1万多个网站被入侵为例。他解释说,黑客可以使用特殊的工具包主动搜索网站漏洞,然后入侵篡改网页内容,甚至造成大规模的网络灾难,提醒他web一旦黑客被使用,应用漏洞的普遍性和可能的严重后果。
制造商建议企业使用web用程序保护设备检测网站漏洞。
例如,例如,Armorize Technologies推出了web源代码检测器CodeSecure。
带自动静态分析的验证器(自动静态分析)
Analysis)技术,提供web从开发过程到在线开发生命周期的原始程序代码分析。
至于NetContinuum、F5、Check Point等厂家,他们推出了web应用防火墙或集成其功能UTM在网络安全硬件中,阻挡针web应用攻击达到保护Web安全应用的目的。
OWASP 2021十大Web第四至第十个安全漏洞是:应用程序可以随意访问文件中不安全的直接对象。
Reference,允许点请求允许合法用户执行恶意程序指令,但也可能允许。
伪造(CSRF),信息泄露和进口商机密数据泄露错误
使用有缺陷的认证功能处理、中断认证和对话
管理、不安全或未加密的不安全加密存储用于敏感数据加密和未加密的不安全传输数据
通信,以及可以直接访问数据的限制,因为没有权限控制URL访问。