VulnPlanet易受攻击的代码片段修复

admin 2023年3月17日10:44:44评论88 views字数 1863阅读6分12秒阅读模式

VulnPlanet

易受攻击的代码片段,修复了 Web2、Web3、API、iOS、Android 和基础设施即代码 (IaC)

  • 你有一个很好的易受攻击的代码示例吗?打开 PR

    ♥️

探索 AI 驱动的 CVE 搜索

结构📚

CVE 💡

  • 2020-2022 年最容易利用

    • Log4Shell

    • Spring4Shell

    • Follina

    • ProxyNotShell

    • ZeroLogon

Web2 🕸

  • OWASP 2021 年 10 强

    • A01 - Broken Access Control

    • A02 - Cryptographic Failures

    • A03 - Injection

    • A04 - Insecure Design

    • A05 - Security Misconfiguration

    • [A06 - Vulnerable and Outdated Components]

    • [A07 - Identification and Authentication Failures]

    • [A08 - Software and Data Integrity Failures]

    • [A09 - Security Logging and Monitoring Failures]

    • [A10 - Server-Side Request Forgery]

  • 各种漏洞

    • SQL Injection

    • NoSQL Injection

    • LDAP Injection

    • XSS

    • SSTI

    • XXE

    • SSRF

    • CSRF

    • Code Execution

    • Code Injection

    • Command Injection

    • XPATH Injection

    • Insecure Deserialization

    • Authentication Bypass

    • Broken Access Control

    • IDOR

    • Directory traversal

    • Prototype Pollution

    • Insecure File Uploads

    • Buffer Overflow

    • Integer Overflow

    • Denial Of Service

    • Sensitive Data Exposure

    • Improper Error Handling

    • Race Condition

API 

  • OWASP API 安全 Top-10 2019

    • API1 - Broken Object Level Authorization

    • API2 - Broken User Authentication

    • API3 - Excessive Data Exposure

    • API4 - Lack of Resources & Rate Limiting

    • API5 - Broken Function Level Authorization

    • API6 - Mass Assignment

    • API7 - Security Misconfiguration

    • API8 - Injection

    • API9 - Improper Assets Management

    • API10 - Insufficient Logging & Monitoring

Web3 █

  • 各种漏洞

    • Reentrancy

    • Broken Access Control

    • Arithmetic Issues

    • Silent failing sends

    • Denial of Service

    • Bad Randomness

    • Front-Running

    • Time manipulation

    • Short Address Attack

Mobile 📱

  • OWASP 2016 年十大移动

    • M1: Improper Platform Usage

    • M2: Insecure Data Storage

    • M3: Insecure Communication

    • M4: Insecure Authentication

    • M5: Insufficient Cryptography

    • M6: Insecure Authorization

    • M7: Client Code Quality

    • M8: Code Tampering

    • M9: Reverse Engineering

    • M10: Extraneous Functionality

基础结构即代码 (IaC)

  • 各种漏洞

    • 公共互联网入口

    • 根的访问密钥存在

    • 负载均衡器不使用 HTTPS

    • 例如IMDS访问不需要令牌

    • 根块设备未加密

    • 通配符的 IAM 策略使用

    • 负载均衡器不会删除无效标头

    • 负载均衡器公开公开

    • 子网关联公共 IP 地址

    • S3 访问块应阻止公有 ACL

    • S3 访问阻止应阻止公共策略

    • 未加密的 S3 存储桶

    • CMK 不用于 S3 加密

    • 未为 VPC 启用 VPC 流日志

    • 存储桶未启用日志记录

    • 存储桶未启用版本控制

    • 实例的备份保留期非常低

    • 日志组未加密

    • 群集未启用容器见解

    • 安全组规则没有描述


项目地址:

https://github.com/yevh/VulnPlanet

原文始发于微信公众号(蓝猫Sec):VulnPlanet--易受攻击的代码片段--修复

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月17日10:44:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   VulnPlanet易受攻击的代码片段修复http://cn-sec.com/archives/1608318.html

发表评论

匿名网友 填写信息