与传统的web应用程序相比,现代开发过程更具动态性,依赖于快速的交付周期,并遵循微服务框架。此类框架在很大程度上依赖于应用程序编程接口(API)作为最关键的组建之一。不幸的是,虽然API提供了许多好处...
OWASP发布业务逻辑滥用十大风险2025
背景多年来,OWASP Top 10一直是Web应用安全的“黄金标准”,指引着开发者和安全工程师应对SQL注入、跨站脚本(XSS)等常见技术漏洞。然而,现代应用程序的攻击面远不止于此。攻击者越来越多地...
【渗透测试】 OWASP 前 10 寻找 OAUTH 漏洞的方法
点击上方蓝字“Ots安全”一起玩耍在其他所有网站中,OAuth 都是需要集成的重要元素。访问委托的想法简直太棒了,因为它减少了开发人员从头开始构建注册/登录的整体头痛。但实现很简单,你的任何错误配置都...
APP端加密(DES-CBC)的HTTP流量如何自动化解密?
? ? ? MITM解密插件之社会主义没有后门起因场景一以前 app测试遇到这个问题如何用yakit 解决?场景发送的报文和响应报文都是加密的需求:不影响发送的报文和响应的报文 在展示的时候展示解密之...
渗透测试工具 OWASP ZAP 的 RCE 反制
0x00 背景 OWASP Zed Attack Proxy 简称 ZAP,是一个开源的安全测试工具,功能和 Burpsuite 基本一样,它们同样使用 Java 语言编写,本人也曾有用过一段时间 Z...
第125篇:蓝队溯源之burpsuite、zap、AWVS、xray扫描器反制方法与复现
Part1 前言 大家好,我是ABC_123。最近我一直在更新蓝队分析取证工具箱中的溯源反制功能,为此阅读了大量相关的技术文章。很多资料提到了早期版本的Burpsuite、OWASP ZAP、AWV...
2025年API安全防护必备的十大最佳实践
作为现代应用与系统集成的核心枢纽,API安全已成为2025年安全团队的首要任务。本指南汇集了从身份验证到事件响应等关键领域的最新防护方案,所有建议均基于OWASP、NIST、Gartner及主流云服务...
业务逻辑攻击定义框架:OWASP BLADE
业务逻辑攻击的兴起业务逻辑攻击指攻击者绕过技术层面的安全措施,直接滥用应用设计中固有的业务流程与逻辑漏洞,以获取非法利益或造成损害。与传统利用代码缺陷的攻击(如 SQL 注入、XSS)不同,业务逻辑攻...
OWASP LLM TOP10安全风险解析
此文章原创作者为源鲁安全实验室,转载请注明出处!此文章中所涉及的技术、思路和工具仅供网络安全学习为目的,不得以盈利为目的或非法利用,否则后果自行承担!01引言 随着大规模语言模型(LLM)在各行...
OWASP Top-10 SQL injection
OWASP Top-10 SQL injection OWASP Top-10系列,此次介绍的是SQL injection 。上菜!!!1SQL injection是什么?2注入方法和绕waf3...
crAPI - 存在漏洞的API项目
crAPI 是一个OWASP提供的故意设计存在漏洞的API项目,通过这个项目,可以安全地运行并训练自己识别和利用API中的安全漏洞。项目概述crAPI 模拟了一个汽车维修服务的B2C应用,采用微服务架...
API漏洞挖掘指北-APISandbox靶场通关.1
APIKitAPISandboxAPISandbox靶场通关安装OWASPApiTop104ASystemAPIKitAPIKit是基于BurpSuite提供的JavaAPI开发的插件。APIKit可...