OWASP
含有「OWASP」共 17 篇內容
全部內容
發佈日期由新至舊
今天要介紹的是 A3:軟體供應鏈失效 (Software Supply Chain Failures)。這是 2025 年最讓人頭痛的 「信任危機」,因為你可能根本沒做錯事,但卻一樣死得很慘。
以下,讓 Gemini 一樣以「開餐廳」來說明:
第 3 名:軟體供應鏈失效
1. 上游被駭
第 4 名:加密失敗
簡單地說,在重視隱私的今天,這家奇葩餐廳依然信奉「透明公開」。
1. 什麼是「明文傳輸」?(Clear Text / No HTTPS)
情境: 客人要結帳,把信用卡交給服務生。
服務生: 直接站在桌邊,拿起無線電對著櫃檯大喊:「喂!這桌客人的卡號是......
今天想趁工程師還沒上線先發一篇,(如果現在就點開來看,祝您午休好眠😴)因為我想說一個小概念,關於「如何理解一個資訊系統」……
簡單粗暴地說!
請預設所有系統天生就是小笨蛋,不知人心險惡,工程師因為趨同演化,所以常常也是這樣,所有安全機制都是在遭遇攻擊後,由人類一條一條補強上去的。
了解這
本次《OWASP Top 10》要說的是「不安全的設計」,屬於先天不良,解法常常得是砍掉重練。
這條的核心在於:「流程本身的邏輯是腦殘的」。不是程式寫錯,是這套規則從一開始就沒把「人性」考慮進去。試想一下:餐廳老闆為了省事,決定讓客人「自己填寫帳單」……
這次請 Gemini 說明的是「身分驗證失敗 (Identification and Authentication Failures)」這一條,看完應該就會懂,為什麼「多一組密碼卻不做驗證機制」很不安全。
OWASP top 10 2025年版 - 第 8 名:軟體與資料完整性失敗
這條漏洞相當於你的餐廳全員「毫無戒心,路邊撿來的東西也敢吃」。
讓我們繼續用這間兩光的餐廳來講 《OWASP Top 10:2025》的第 9 名,也是很有既視感的一項風險。
第 9 名:紀錄與監控失敗(Security Logging and Monitoring Failures)。
這條漏洞說穿了,就是你的餐廳 「監視器和保全形同虛設,老闆還有失憶症」。
今天的睡前資安(催眠)故事,正式進入《OWASP Top 10》2025 版。
我們就從排名第十的風險開始,跟著Gemini 的解說,逐步揭曉當今的大魔王。
話不多說,直接上菜。
第 10 名:異常狀態處理不當
A10 - 異常狀態處理不當 (Mishandling of Excepti
資安睡前故事(下):你的網站也像「監視器沒開」的餐廳嗎?繼續盤點 OWASP Top 10 (2021) 第 6 至 10 名風險。用超有感的餐廳情境,秒懂易受攻擊組件、SSRF 與身分驗證失敗。別讓駭客因為這些「老黃曆」漏洞把資料整包端走~
OWASP 組織每隔幾年就會發布前十大應用程式資安風險清單,讓軟體開發者把這些常見漏洞釘在恥辱柱上,不然就會受到「整包資料被搬走」的詛咒。
如今雖然 OWASP Top 10: 2025 版已經問世,但我覺得 2021 年的版本也很值得溫習,以下就來認識十大錯誤的前五大,這些歷久彌新(?)的資安問題