#OWASP
标签 · 共 3 篇
应用安全··0 分钟
BOLA 不是拼写错误:对象级授权失效的六类真实模式与工程化防御
基于100+份Bug Bounty披露实证,系统拆解BOLA的六类真实攻击模式,并给出从数据库查询层到边缘运行时的工程化防御方案。
#API安全#BOLA#访问控制
应用安全··0 分钟
OWASP Top 10 2025 变化拆解:供应链与异常条件进入前十的工程信号
OWASP Top 10 2025 的两个新类别——Software Supply Chain Failures 和 Mishandling of Exceptional Conditions——不仅刷新了风险排名,更传递了一个明确的工程信号:应用安全的边界正在从'我写的代码'扩展到'我依赖的生态系统'和'代码出错时的行为'。
#OWASP#应用安全#供应链安全
MCP 技术生态··0 分钟
Prompt 不是安全边界,工具网关才是:MCP 服务器的隐性授权风险与 Agent 运行时治理
MCP 协议的 STDIO 设计缺陷已导致 30+ CVE,但这只是表象。真正的问题是:Agent 在调用工具时,权限控制面在哪里?本文从 MCP 工具链的隐性授权边界出发,分析为什么模型层的 Prompt 约束无法阻止工具滥用,并梳理微软 Agent Governance Toolkit 带来的运行时治理架构。
#MCP#AI Agent#运行时安全