OWASP
含有「OWASP」共 19 篇內容
全部內容
發佈日期由新至舊
今天揭曉第一名,整個系列就完結啦~
這次整間餐廳的員工都有嚴重的「臉盲症」,他們只認你嘴裡喊出的數字,或是你腳踩著的位置,完全不在乎你到底是誰。
第 1 名:權限崩壞
1. 平行越權:只要我敢喊,別人的龍蝦就是我的
荒謬現場: 你坐在 1 號桌,點了一碗 50 元的陽春麵。隔壁 8
前陣子比較忙,現在趁農曆年前,趕緊Gemini教一教、把最後兩個資安知識學起來。
第 2 名:安全設定錯誤
1. 什麼是「預設帳密」?(Default Accounts)
情境: 餐廳買了最頂級的防盜收銀機。
原廠說明書: 「為了方便第一次開機,預設管理員密碼是出廠設定的 0000
今天要介紹的是 A3:軟體供應鏈失效 (Software Supply Chain Failures)。這是 2025 年最讓人頭痛的 「信任危機」,因為你可能根本沒做錯事,但卻一樣死得很慘。
以下,讓 Gemini 一樣以「開餐廳」來說明:
第 3 名:軟體供應鏈失效
1. 上游被駭
第 4 名:加密失敗
簡單地說,在重視隱私的今天,這家奇葩餐廳依然信奉「透明公開」。
1. 什麼是「明文傳輸」?(Clear Text / No HTTPS)
情境: 客人要結帳,把信用卡交給服務生。
服務生: 直接站在桌邊,拿起無線電對著櫃檯大喊:「喂!這桌客人的卡號是......
今天想趁工程師還沒上線先發一篇,(如果現在就點開來看,祝您午休好眠😴)因為我想說一個小概念,關於「如何理解一個資訊系統」……
簡單粗暴地說!
請預設所有系統天生就是小笨蛋,不知人心險惡,工程師因為趨同演化,所以常常也是這樣,所有安全機制都是在遭遇攻擊後,由人類一條一條補強上去的。
了解這
本次《OWASP Top 10》要說的是「不安全的設計」,屬於先天不良,解法常常得是砍掉重練。
這條的核心在於:「流程本身的邏輯是腦殘的」。不是程式寫錯,是這套規則從一開始就沒把「人性」考慮進去。試想一下:餐廳老闆為了省事,決定讓客人「自己填寫帳單」……
這次請 Gemini 說明的是「身分驗證失敗 (Identification and Authentication Failures)」這一條,看完應該就會懂,為什麼「多一組密碼卻不做驗證機制」很不安全。
OWASP top 10 2025年版 - 第 8 名:軟體與資料完整性失敗
這條漏洞相當於你的餐廳全員「毫無戒心,路邊撿來的東西也敢吃」。
讓我們繼續用這間兩光的餐廳來講 《OWASP Top 10:2025》的第 9 名,也是很有既視感的一項風險。
第 9 名:紀錄與監控失敗(Security Logging and Monitoring Failures)。
這條漏洞說穿了,就是你的餐廳 「監視器和保全形同虛設,老闆還有失憶症」。
今天的睡前資安(催眠)故事,正式進入《OWASP Top 10》2025 版。
我們就從排名第十的風險開始,跟著Gemini 的解說,逐步揭曉當今的大魔王。
話不多說,直接上菜。
第 10 名:異常狀態處理不當
A10 - 異常狀態處理不當 (Mishandling of Excepti