文库搜索
切换导航
首页
频道
安全标准
安全报告
安全文档
首页
安全标准
安全报告
安全文档
批量下载
使用说明
官方交流群
会员登录
01 OWASP TOP 10 OWASP Top10 A03:2021-注入 A05:2021-配置错误 02 API 安全痛点 甲方漏洞现状 编号 漏洞标题 定义 1 水平越权 对象级别的越权,通过某个遍历参数可以访问到其他对象资源 2 过度数据暴露 3 注入 4 业务安全缺陷 5 安全配置错误 6 高并发缺陷 依赖通用方法,开发人员倾向于公开所有对象属性而不考虑其各自的敏感度,依赖客户端 在向用户显示数据前执行数据筛选,返回的数据也缺失脱敏操作 当不受信任的数据作为命令或查询的一部分发送给解释器 时,就会出现注入缺陷,如 SQL、NoSQL、命令注入等。 攻击者的恶意数据可诱使解释器在未经恰当授权的情况下 执行非预期的命令或访问数据 业务逻辑上的缺陷,主要是过分信任用户的输入,这些漏洞跟业务强相关 安全错误配置通常是由于不安全的默认配置、不完整或临 时配置、开放云存储、开发 swagger,配置错误的HTTP 头、不必要的 HTTP 方法、允许跨域资源共享(CORS)和包 含敏感信 息的详细错误消息造成的 攻击者通过并发http/tcp请求而达到次获奖、多次收获、多次获赠等非正常逻辑所能触发 的效果,一般都是系统幂等性设计缺失或者错误导致的额 痛点 API多 发版快 越权占比高 人力支撑困难 敏感多数据 03 API 安全收敛体系 SDL BP架构 漏洞收敛体系 应用安全三板斧 应用安全三板斧之IAST API 网关 API 管控平台 提问环节
廖新喜 甲方API安全落地实践
安全文档
>
网络安全
>
文档预览
中文文档
19 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助1.5元下载(无需注册)
温馨提示:本文档共19页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助1.5元下载
本文档由
路人甲
于
2022-09-01 08:25:54
上传分享
举报
下载
原文档
(3.2 MB)
分享
给文档打分
您好可以输入
255
个字符
网站域名是多少( 答案:
github5.com
)
评论列表
暂时还没有评论,期待您的金玉良言
热门文档
GB-T 12521-2008 空气潜水减压技术要求.pdf
DL-T 741-2019 架空输电线路运行规程.pdf
GB-T 30030-2013 自动导引车 AGV 术语.pdf
GB/T 36073-2018 数据管理能力成熟度评估模型.pdf
SY-T 6662.2-2020 石油天然气工业用非金属复合管 第2部分:柔性复合高压输送管.pdf
T-XLTDA 005—2021 地方特色乳制品 风味奶酪.pdf
GB-T 42875-2023 城市公共设施 城市家具 分类.pdf
GB-T 37966-2019 纳米技术 氧化铁纳米颗粒类过氧化物酶活性测量方法.pdf
蚂蚁集团 图数据库选型方法 问题 方法与工具.pdf
GB-Z 24294.1-2018 信息安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则.pdf
T-WAPIA 045.2—2021 信息技术 系统间远程通信和信息交换 原子密钥建立与实体鉴别 第2部分:轻量级原子密钥建立与实体鉴别.pdf
T-SZFAA 03—2019 人工光型植物工厂建设规范.pdf
T-ZZB 1837—2020 氟塑料衬里不锈钢球阀.pdf
GB-T 19791-2005 温室防虫网设计安装规范.pdf
GB-T 3389-2008 压电陶瓷材料性能测试方法 性能参数的测试.pdf
GB-T 39412-2020 信息安全技术 代码安全审计规范.pdf
SL 47-2020 水工建筑物岩石地基开挖施工技术规范.pdf
T-CI 152—2023 基于区块链的制造业产品生命周期价值链数据管理与数据共享技术规范.pdf
华为发布 高品质万兆无线校园网建设白皮书.pdf
安全牛 现代企业零信任安全构建应用指南研究报告 2021.pdf
1
/
3
19
评价文档
赞助1.5元 点击下载(3.2 MB)
回到顶部
×
微信扫码支付
1.5
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
享优惠, 办会员
每年仅需
99
元(可开发票 无限下载)
加客服微信扫描如下二维码 咨询
×
分享,让知识传承更久远
×
文档举报
举报原因:
×
优惠下载该文档
免费下载 微信群 欢迎您
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。