标签： OWASP

随着越来越多的组织依赖 Web 应用程序和连接服务提供的自动化和规模，应用程序编程接口 (API) 安全性已变得势在必行。仅去年一年，针对客户 API 的独特攻击者就增长了 400%，这证明组织必须采取主动方法来保护这些日益有价值的服务。 但考虑到 API 技术的快速发展和威胁数量的不断增加，了解从何处以及如何开始保护 API 可能会令人难以承受。幸运的是，像开放 Web 应用程序安全项目 (OW...

在开展渗透测试工作中，有一些非常经典的渗透测试框架，它们提供了一套标准化的测试指导方针和推荐工具，帮助测试者跨不同的网络和安全环境开展更有效的渗透测试。尽管企业组织也可以自行构建测试框架，但是在大多数情况下，如果不依靠成熟的渗透测试框架来规范测试流程、测试工具和战术方法，企业的渗透测试工作可能很难取得成功。 对于渗透测试工作来说，可重复性、可扩展性以及可持续性非常重要，特别是随着组织信息化应用和网...

2023年6月5日，OWASP正式发布了2023版API安全Top 10列表。首版 OWASP API Security Top 10 发布于2019年，今年2月时，OWASP曾发布过一个候选版（Candidate），现在终于等到了正式稳定版（stable version）。 该列表与2019版有许多相似之处，但也进行了一些重组/重新定义并引入了一些新概念。威胁和风险在几年内都不会发生剧烈变化；但...

机缘巧合，最近接触了一款开源的web安全工具OWASP ZAP，着实眼前一亮。操作简单易用、功能齐全、插件种类丰富，具备代理、数据截断、扫描、主动攻击、爬虫、fuzzing、渗透测试等多样的安全测试功能，相比于商业版的Burp Suite和AppScan工具，OWASP ZAP不乏为一款不错的商用版替代工具，也是安全人员入门的极佳体验工具。 本文将根据OWASP ZAP工具特性，分别将其与Burp...

OWASP（开放式Web应用程序安全项目）的工具、文档、论坛和全球各地分会都是开放的，对所有致力于改进应用程序安全的人士开放，其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ，总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。可以帮助IT公司和开发团队规范应用程序开发流程和测试流程，提高Web产品的安全性。 OWASP Top 10多...

2017年4月10日，OWASP组织对外发布了“ReleaseCandidate”版本的《OWASP Top 10 2017》文档，OWASP中国根据OWASP组织发布的消息，组织发布《OWASP Top10 2017 RC1》中文版。

跨站请求伪造（Cross-Site Request Forgery）或许是最令人难以理解的一种攻击方式了，但也正因如此，它的危险性也被人们所低估。在“开放式Web应用程序安全项目”（OWASP）的榜单中，CSRF（又称XSRF）就位于前10的位置。

我们知道，Open Web Application Security Project每隔一段时间就会公布“OWASP Top 10”，这是针对Web应用安全问题的一个影响力极大的清单。而最近，OWASP公布了“Mobile Top 10 2016”。

CWASP，认证Web应用安全专家（Certified Web Application Security Professional）,是一个专注于培养Web安全人才的培训认证体系，同时也是业界首个理论与实践相结合的培训认证体系。

很多朋友对OWASP Top 10不理解，特别是刚入门的朋友，在这里乌云漏洞平台做了整理，每一个都有明确的案例，非常好的、极为接地气的Web应用安全案例文章，推荐给大家。

第一批Hacking-Lab服务器将在首先山东省部署，届时完全免费向广大爱好者开放。Hacking-Lab排行榜也同时开放，在可预见的将来，为Hacking-Lab排行榜单成员免费推荐工作，最富才能的网络安全专家还会由SecZone承担费用等事宜。

近日，深信服科技旗舰产品深信服下一代防火墙NGAF获得全球性开源安全组织OWASP的Web应用防火墙认证证书，Web防护能力获高度认可。 OWASP被视为Web应用安全领域的权威参考：2009年下列发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP；美国联邦贸易委员会（FTC）强烈建议所有企业需遵循OWASP十大Web弱点防护守则；OWASP TOP 10是IBM AP...

数据库的安全问题一直以来就是DBA的噩梦，那些不安全的Web应用程序、没有有效的认证管理以及管理配置不当的分段都可能让数据库处于危险之中。当然，如果你的数据库系统没有部署流量监控或加密技术，数据库安全也可以说是不完整的。但是大多数安全从业人员都知道往往数据库安全的有效性在数据库环境外部和内部差不多。 而实际上在数据的存储过程中通常因为IT基础架构层的安全性较差而导致了更多的数据泄漏。因而产生了三个...

　　【IT168 资讯】以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。OWASP中国区主席Rip为大会致辞，并在会上宣布了OWASP未来的三大计划。

▲OWASP中国区主席Rip致辞

　　11月8日，全球顶级WEB应用安全组织OWASP在中国北京国际会议中心召开了OWASP 2011亚洲峰会，本次大会邀请了政府、金融、互联网、教育、电信、能源等热门行业的CIO代表和国内外知名的应用安全专家、厂商代表。以 “互联网安全新思维”为主题，在“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个方面展开深入的讨论。杭州安恒信息技术有限公司作为OWASP中