AliAlMansorisec/OWASP-Top-10-2025
GitHub: AliAlMansorisec/OWASP-Top-10-2025
这是一个基于 OWASP Top 10 2025 的全面安全参考资源,旨在帮助用户系统学习、测试和修复 Web 应用中的关键漏洞。
Stars: 0 | Forks: 0
# 🛡️ OWASP Top 10 2025 | 渗透测试指南
## 📖 关于仓库
基于 OWASP Top 10 2025 分类,针对 Web 应用安全中最关键的十大漏洞,提供的一份完整技术参考。
本仓库包含:
- ✅ 每个漏洞的详细解释及实践示例
- ✅ 逐步的组织化渗透测试方法
- ✅ 对利用和规避技术的深度分析
- ✅ 针对 PortSwigger 实验室的实用解决方案
- ✅ 漏洞、方法和实验室之间的直接关联
## 🔥 每个漏洞文件夹包含什么?
每个分类包含结构化的笔记,涵盖:
| # | 部分 | 描述 |
|---|------|------|
| 🧠 | **现实类比** | 从实用角度理解漏洞的简单解释 |
| 📌 | **专业定义** | 漏洞及其安全影响的技术说明 |
| 🔥 | **为何危险** | 理解真实攻击后果和利用影响 |
| 🧩 | **常见漏洞类型** | 最常见的攻击模式和现实案例 |
| 🧠 | **攻击者思维** | 专业攻击者针对漏洞的思考方式 |
| 🛠️ | **实践发现** | 实用测试方法和发现工作流 |
| 🛡️ | **修复与加固** | 专业的缓解措施和安全最佳实践 |
## 📂 仓库结构
```
owasp-top-10-2025/
│
├── README.md
│
├── A01-Broken-Access-Control/
│ ├── README.md # ثغرات التحكم في الوصول (IDOR, Privilege Escalation)
│ ├── 05-Path-Traversal.md
│ └── 06-CSRF.md
│
├── A02-Cryptographic-Failures/
│ └── README.md
│
├── A03-Injection/
│ ├── 01-SQL-Injection.md
│ ├── 02-NoSQL-Injection.md
│ ├── 03-Command-Injection.md
│ ├── 04-Prototype-Pollution.md
│ ├── 06-XSS.md
│ ├── 07-DOM-Based.md
│ ├── 08-SSTI.md
│ ├── 09-XXE.md
│ ├── 10-Web-LLM.md
│ └── 11-GraphQL.md
│
├── A04-Insecure-Design/
│ └── 01-Business-Logic.md
│
├── A05-Security-Misconfiguration/
│ ├── 04-Web-Cache-Deception.md
│ ├── 05-Clickjacking.md
│ ├── 06-Host-Header.md
│ ├── 07-Request-Smuggling.md
│ ├── 08-Info-Disclosure.md
│ ├── 09-File-Upload.md
│ ├── 10-CORS.md
│ └── 11-Web-Cache-Poisoning.md
│
├── A06-Vulnerable-Components/
│ └── README.md
│
├── A07-Auth-Failures/
│ ├── README.md # Authentication vulnerabilities
│ ├── 04-JWT-Attacks.md
│ ├── 05-WebSockets.md
│ └── 06-OAuth.md
│
├── A08-Data-Integrity/
│ ├── 02-Insecure-Deserialization.md
│ └── 03-Race-Conditions.md
│
├── A09-Logging-Monitoring/
│ └── README.md
│
└── A10-SSRF/
└── README.md
```
## 📊 漏洞列表
| # | 漏洞 | 类别 | 文件 |
|---|------|------|------|
| A01 | 失效的访问控制 | IDOR、路径遍历、CSRF | [📁](A01-Broken-Access-Control/) |
| A02 | 加密失败 | 弱加密、TLS 问题 | [📁](A02-Cryptographic-Failures/) |
| A03 | 注入 | SQL、NoSQL、命令注入、XSS、SSTI、XXE、GraphQL | [📁](A03-Injection/) |
| A04 | 不安全的设计 | 业务逻辑 | [📁](A04-Insecure-Design/) |
| A05 | 安全配置错误 | 缓存、CORS、文件上传、响应头 | [📁](A05-Security-Misconfiguration/) |
| A06 | 易受攻击的组件 | 过时的库、CVE | [📁](A06-Vulnerable-Components/) |
| A07 | 身份验证失败 | 身份验证、JWT、WebSocket、OAuth | [📁](A07-Auth-Failures/) |
| A08 | 数据完整性 | 反序列化、竞态条件 | [📁](A08-Data-Integrity/) |
| A09 | 日志和监控 | 日志记录不足 | [📁](A09-Logging-Monitoring/) |
| A10 | SSRF | 服务器端请求伪造 | [📁](A10-SSRF/) |
## 🧪 PortSwigger 实验室覆盖范围
| 分类 | 已完成实验室 | 总实验室 |
|------|--------------|----------|
| SQL 注入 | ✅ | 18 |
| 身份验证 | ✅ | 14 |
| 访问控制 | ✅ | 13 |
| XSS | ✅ | 30 |
| CSRF | ✅ | 12 |
| SSRF | ✅ | 7 |
| SSTI | ✅ | 7 |
| XXE | ✅ | 9 |
| 命令注入 | ✅ | 5 |
| 路径遍历 | ✅ | 6 |
| 业务逻辑 | ✅ | 11 |
| 信息泄露 | ✅ | 5 |
| 文件上传 | ✅ | 7 |
| 竞态条件 | ✅ | 6 |
| JWT 攻击 | ✅ | 8 |
| OAuth | ✅ | 6 |
| Web 缓存投毒 | ✅ | 6 |
| HTTP 请求走私 | ✅ | 8 |
## 🔗 相关仓库
| 仓库 | 描述 |
|------|------|
| [OWASP-API-Top-10](https://github.com/AliAlMansorisec/OWASP-API-Top-10) | OWASP API 安全 Top 10 |
| [Web-Pentest-Methodology](https://github.com/AliAlMansorisec/web-pentest-methodology) | 结构化的渗透测试方法 |
| [PortSwigger-Labs](https://github.com/AliAlMansorisec/portswigger-labs) | 所有 PortSwigger 实验室的解决方案 |
| [Pentest-Scripts](https://github.com/AliAlMansorisec/pentest-scripts) | 自动化与自定义工具 |
## 👨💻 开发者
**Ali Al-Mansori**
安全研究员 & 渗透测试员
[](https://github.com/AliAlMansorisec)
[](https://twitter.com/AliAlMansori)
## 📄 许可证
本仓库仅用于教育和专业安全研究目的。
**为赏金猎人、渗透测试员和安全专业人员构建。** 🚀
标签:AppImage, CSRF攻击, meg, OWASP Top 10 2025, PortSwigger实验室, Web安全, Web应用防火墙, 信息安全, 反取证, 多线程, 安全指南, 安全最佳实践, 安全测试, 安全漏洞, 安全评估, 攻击性安全, 攻击面分析, 数据可视化, 漏洞修复, 漏洞分析, 网络安全, 网络安全培训, 网页分析工具, 蓝队分析, 行业标准, 路径探测, 路径遍历, 隐私保护