练习时长两年半的安全服务工程师
☆☆☆ webapp 安全测试
☆☆☆ Javaweb 代码审计
☆☆ 网络流量与日志分析
熟悉 0Sl 七层协议
对渗透测试 与 APT 攻击 个人理解:
信息收集 是本质
web 安全 则是 组件 框架 语言特性 不安全代码设计(未按最佳规范使用特性) 业务逻辑bug 对用户输入参数校验不完全
计算机科学没有黑魔法
参数校验 配置问题 预留调试接囗 等 以及部署环境存在版本过低 配置参数默认非安全
网络安全问题一直在 七层模型 当中 从物理层 网络层 传输层 会话层 表示层 应用层 有迹可循
软件安全 则是 内核安全 应用注入 内存越界 覆盖变量
OWASP Top 10 2021
- A01:2021 - Broken Access Control(访问控制漏洞)
- A02:2021 - Cryptographic Failures(加密失败)
- A03:2021 - Injection(注入漏洞)
- A04:2021 - Insecure Design(不安全的设计)
- A05:2021 - Security Misconfiguration(安全配置错误)
- A06:2021 - Vulnerable and Outdated Components(脆弱和过时的组件)
- A07:2021 - Identification and Authentication Failures(身份验证和身份识别失败)
- A08:2021 - Software and Data Integrity Failures(软件和数据完整性失败)
- A09:2021 - Security Logging and Monitoring Failures(安全日志记录和监控失败)
- A10:2021 - Server-Side Request Forgery (SSRF)(服务器端请求伪造)
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。与我联系email c2VjaW5mby5tQGdtYWlsLmNvbQo=