OWASP Mutillidae 靶机实验指导书详解 OWASP Top 10 应用安全风险

OWASP Mutillidae 靶机实验指导书 OWASP Mutillidae 是一个免费、开源的 Web 应用程序安全测试环境，旨在帮助开发者和安全测试者学习和了解 Web 应用程序安全漏洞。该指导书对 OWASP Top 10 应用安全风险-2017 中的漏洞进行了详细分类和举例说明，并结合靶机使用，旨在帮助用户快速掌握 Web 应用程序安全测试的技能。 OWASP Mutillidae II 实验指导书目录 目录部分介绍了实验指导书的结构和内容，包括 OWASP Mutillidae II 实验指导书的使用说明、可选配置、顶级菜单栏、左侧菜单栏、漏洞列表、视频、页面提示、安全模式、“帮助我”按钮、气泡提示等部分。 漏洞列表 漏洞列表部分详细介绍了 OWASP Top 10 应用安全风险-2017 中的漏洞，包括： 1. 注入（A1）：包括 SQL 注入、应用日志注入、缓冲区溢出、层叠样式表注入、CBC 字节翻转、命令注入、帧源注入、HTML 注入、HTTP 参数污染、JavaScript 注入、JSON 注入、参数添加、XML 外部实体注入、XML 实体扩展、XML 注入、XPath 注入等。 2. 失效的身份认证和会话管理（A2）：包括身份验证绕过、特权升级、用户名枚举等。 3. 敏感数据泄露（A3）：包括信息披露、应用程序路径披露、平台路径披露、SSL 配置错误等。 4. XML 外部实体（XXE）（A4）：包括 XML 外部实体注入等。 5. 失效的访问控制（A5）：包括不安全的直接对象应用、缺少功能级访问控制等。 6. 安全配置错误（A6）：包括目录浏览、方法篡改、用户代理模拟、无限制的文件上传、SSL 配置错误、robots.txt、缓存控制、点击劫持等。 7. 跨站脚本（XSS）（A7）：包括反射型 XSS、存储型 XSS、DOM 型 XSS 等。 8. 不安全的反序列化（A8）：包括不安全的反序列化漏洞等。 9. 使用含有已知漏洞的组件（A9）：包括 CBC 字节翻转、SSL 配置错误等。 10. 不足的日志记录和监控（A10）：包括日志记录不全、监控不力等。 该指导书对 OWASP Top 10 应用安全风险-2017 中的漏洞进行了详细分类和举例说明，旨在帮助用户快速掌握 Web 应用程序安全测试的技能。