DDW的成长博客

OWASP 2023 TOP10 A7 识别和认证失败（认证崩溃）

一、什么是识别和认证失败通常，通过错误使用应用程序的身份认值和会话管理功能，攻击者能够破译密码、密钥或会话令牌，或利用其他开发缺陷来暂时性或永久性冒充其他用户的身份。在开发web应用程序时，开发人员往往只关注web应用程序所需要的功能，所以常常会建立自定义的认值和会话方案。但是要正确的实现这些方案确

Posted by DDW on 08-05，2022

OWASP 2023 TOP10 A6 使用含有漏洞的组件

一、什么是组件组件（例如：库、框架、和其他软件模块）拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用，可能会造成严重的数据丢失和服务器被接管，同时，使用含有漏洞的应用程序或API会造成应用程序防御破坏、造成各种攻击和严重的后果。组件密集型开发模式可能导致开发团队甚至不了解他们在

Posted by DDW on 08-05，2022

OWASP 2023 TOP10 A5 安全配置不当

一、什么是安全配置不当安全配置不当是常见的安全问题，这通常是由于不安全的默认配置、不完整的临时配置、开源云存储器、错误的HTTP标头配置、以及包含详细敏感信息的框架造成的。因此我们不仅要对操作系统、框架、库、应用程序进行安全配置，而且要即使修补和升级它们。二、可能产生的风险点应用程序启用或者安装了不

Posted by DDW on 08-05，2022

OWASP 2023 TOP10 A4 不安全的设计

一、什么是不安全的设计设计语句或者业务流程的时候，只想着把业务快速的设计出来，没有对业务线进行严谨的处理，业务逻辑存在重大可以利用的漏洞：支付逻辑所有涉及购买、支付等方面功能处就有可能存在支付漏洞挖掘：寻找网站的支付系统、或兑换系统、抓包判断有没有信息能够修改。修改支付价格、修改支付状态、修改购买数

Posted by DDW on 08-05，2022

OWASP 2023 TOP10 A3 SQL注入

一、什么是SQL注入web应用程序对用户的输入数据合法性没有判断或过滤不严，攻击者可以在web的应用程序中实现定义好的查询语句的结尾进行添加额外的执行语句，在管理员不知情的情况下实现非法操作。以此实现欺骗数据的库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。也就是说，服务端想让你提交一个

Posted by DDW on 08-05，2022

OWASP 2023 TOP10 A2敏感数据暴露

一、什么是敏感数据暴露很多web和APP无法正确保存敏感数据，例如医疗数据、财务数据、商业数据、学生数据等等。攻击者容易通过某种渠道窃取、修改相应数据。因此，我们要对敏感数据加密，这些数据包括：传输过程中的数据、储存的数据以正确窃取或修改未加密的数据进行实施信用卡诈骗、身份盗窃、和其他犯罪行为。二、

Posted by DDW on 08-04，2022

OWASP 2023 TOP10 A1访问控制崩溃

一、什么是访问控制崩溃当服务器的权限被绕过，即被人越权之后，就叫控制崩溃。比如：当上某宝网的时候发现自己能修改别人的价格，能帮别人下单等等。作为一般用户，能做一些未授权的事情，获取敏感信息、修改其他用户数据等等。垂直越权：普通用户做特殊用户或者管理者的事情。水平越权：能帮其他普通用户做事情。二、可能

Posted by DDW on 08-04，2022

OWASP 2023 TOP10 DVWA靶场搭建

一、什么是DVWADVWA（Damn Vulnerable Web Application）是一个用PHP编写的Web应用程序，旨在帮助网络安全爱好者学习和练习Web应用程序安全测试的技能，通过让用户手动测试和攻击自己的Web应用程序来提高对Web应用程序安全的理解。该应用程序提供了各种漏洞和安全漏

Posted by DDW on 08-04，2022

什么是websocket协议？

一、什么是websocket当没有客户端传送消息给服务端的时候，服务器是不会有任何响应的

Posted by DDW on 07-30，2022

中间件二、redis

一、关于Redis的简介Redis是一个开源的高性能键值存储数据库，它支持多种数据结构，如字符串、哈希、列表、集合和有序集合。Redis 是以C语言开发的一个开源高性能键值对的内存数据库，可以用来做数据库、缓存、消息中间件等场景，是一种NoSQL(not-only sql,非关系型数据库)的数据库。

Posted by DDW on 06-28，2022