前言
https://www.hacker101.com/sessions/pentest_owasp
What is OWASP and what is the OWASP Top 10? Quick review of top 10 categories and types of vulnerabilities. Concludes with a detailed testing guide walkthrough.
什么是OWASP,OWASP中的TOP10又是什么?快速回顾下TOP10的分类以及漏洞类型,最后给出一个详细的测试指南演练。
1.目前owasp的十大web安全漏洞是哪些?这些漏洞排名是按照漏洞的严重程度排序的还是按照漏洞的常见程度排序的?(2分)
Injection, Broken Authentication, Sensitive Data Exposure, XXE, Broken Access Control, Security Misconfiguration, XSS, Insecure Deserialization, Using Components with Known Vulnerabilities, Insufficient Logging & Monitoring
常见程度
2.请翻译一下credential stuffing(1分)
撞库
3.为什么说不充分的日志记录(insufficient logging)也算owasp十大漏洞的一种?他的危害性如何(2分)
因为这可以让攻击者进一步攻击系统,保持持久的连接,转而篡改、提取、破坏数据。
很多研究表明超过200天以上的违规攻击,都是由内部的日志记录引起的。
4.请翻阅一下owasp testing guide,以及owasp testing guide check-list,视频说怎么结合这两个文档来学习渗透测试? 结合你平时渗透过程中的经验,谈谈你的感想。(3分)
大致浏览看check-list,跟着guide中的具体操作去尝试,不用担心记不下所有漏洞,多做笔记多回顾就好。
5.You are only as good as you notes. You are only as good as things you can refer to. 结合这两句话谈谈你的感想。(2分)
多做笔记,好记性不如烂笔头,不要好高骛远,把握当下能掌握的才是最重要的。
![[hack101]THE WEB IN DEPTH](/medias/featureimages/76.jpg)
![[hacker101]INTRODUCTION](/medias/featureimages/2.jpg)