1.下载OWASP的ModSecurity规则 cd /etc/httpd git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.gitmv owasp-modsecurity-crs modsecurity-crscd modsecurity-crsmv modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf 2.在Apache中启用规则 vi…

https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#Session_ID_Properties 会话简介 HTTP是一种无状态的协议,每一对请求和响应与其他的web交互是相互独立的,如果要跟踪用户的访问状态,就需要引入会话机制,对用户的访问序列进行管理. 会话管理,将认证和访问控制(也叫授权)连接起来,在认证之前可能有未认证的会话,在访问控制之后,要有会话销毁机制. 一旦认证的会话建立,会话ID就相当于最强的认证手段, 等…

开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正.实际.有成本效益的信息.其目的是协助个人.企业和机构来发现和使用可信赖软件. 开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团.因此,由OWASP提供和开发的所有设施和文件都不受商业因素的影响.OWASP支持商业安全技术的合理使用,它有一个论坛,在论坛里信息技术专业人员可以发表和传授专业知识和技…

OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群.非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准.工具与技术文件,长 期 致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性. 下表左边是2010年的排名,下表右边是2013年的排名,可以看出改变的地方有: 2010 年的Insecure Cryptographic Storage(不安全加密存储)和Insuffi…

权威的安全组织OWASP 更新了Top 10:https://www.owasp.org/index.php/Top_10_2013-Top_10 十大安全漏洞分别是:1. 注入,包括SQL.操作系统和LDAP注入.2. 有问题的鉴别与会话管理.3. 跨站脚本攻击(XSS).4. 不安全的直接对象引用.5. 安全配置错误.6. 暴露敏感数据.7. 函数级访问控制缺失.8. 跨站请求伪造(CSRF).9. 使用存在已知漏洞的组件.10. 未验证的重定向. 据SecurityWeek报道(http:…

中文译文参考:http://netsecurity.51cto.com/art/201407/446264.htm 英文原文参考:http://resources.infosecinstitute.com/configuring-modsecurity-firewall-owasp-rules/ 根据最新实践调整里面的细节内容,图片内容未调整: 0x00 背景 ModSecurity是一个免费.开源的Apache模块,可以充当Web应用防火墙(WAF).ModSecurity是一个入侵探测与阻止…

Welcome to OWASP CHINA - OWASP-CHINA undefined…

Open Web Application Security Project(OWASP)是世界范围内的非盈利组织,关注于提高软件的安全性.它们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策.目前,OWASP在全球有超过140个分会,其中包括中文分会.该组织从2003年开始每隔几年就会发布Web应用程序的十大安全风险,针对云计算的安全问题,还提出过云计算十大安全风险,可参考主站和中文站的文档.2013年6月,它们发布了最新的Web应用十大安全风险.完整的风险列表和多种语…

不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/2017/10/11/owasp-top-10-asp-net-core-sql-injection/ OWASP或者说是开放Web应用程序安全项目,这是一个非营利性的组织,其目的是促进安全的web应用程序的开发和设计.当他们在世界各地举办不同的研讨会和活动时,你可能听说过他们,因为"OWASP Top…

不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/2017/10/16/owasp-top-10-asp-net-core-broken-authentication-session-management/ 在我们之前关于OWASP Top 10的文章中,我们讨论了SQL注入.SQL注入有一个非常明确的解释和例子,但这次我们讲的个关于"失效的访问控制和S…