OWASP Top 10

OWASP Top 10：

1）注入（Injection）
如果您的应用程序能够接收进入后端数据库，命令或调用的用户输入，则您的应用程序将面临代码注入攻击。注入漏洞是一组安全漏洞，当可疑数据作为命令或查询插入到应用程序中时会发生。已知的注入攻击包括SQL，OS，XXE和LDAP。

 

2）失效的身份认证（Broken Authentication）
当应用程序的功能未正确实现时，攻击面就容易为犯罪分子打开，他们可以轻松地侵入和破坏密码，会话ID，并利用被盗的凭据利用其他漏洞。会话对于每个用户而言应该是唯一的，并且无需进行某些必要的会话管理，攻击者就可以潜入，伪装成用户窃取令牌和密码来获得其所拥有的访问权限。

 

3）敏感数据暴露（Sensitive Data Exposure）
如果未正确实施安全控制（例如HTTPS），则可能会发生敏感数据泄露，从而使攻击者可以窃取敏感信息，例如密码，付款信息，ID，地址以及您可能存储的任何其他内容。可能很有价值。应用程序应确保对访问进行身份验证并加密数据。失败可能会导致严重的隐私侵害。

 

4）XML外部实体（XXE）
XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当弱配置的XML解析器处理包含对外部实体的引用的XML输入时，就会发生此攻击。这种攻击可能导致泄露机密数据，拒绝服务，伪造服务器端请求，从解析器所在的计算机角度进行端口扫描以及其他系统影响。

 

5）失效访问控制（Broken Access Control）
错误的访问控制可能是由于用户强制实施的限制而导致的访问控制存在缺陷，这使攻击者能够利用和访问未经授权的功能或数据。访问控制旨在控制应用程序中允许和禁止执行哪些“授权”用户，并建立适当的访问控制，该应用程序必须确保其执行可靠的授权检查，并且适当的身份验证可以告知哪些用户用户是特权用户，实际上是随机的Internet用户。

 

6）安全误配置（Security Misconfiguration）
强大的安全性需要一个良好且安全的配置集，并为应用程序，框架，服务器，数据库和自定义代码进行部署，所有这些都应保持最新状态。否则，随之而来的缺陷可能会被攻击者利用，并使他们能够访问特权数据。需要定义，实施和调节应用程序整个环境的正确配置，否则可能会导致严重的安全漏洞。

 

7）跨站点脚本（XSS）
跨站点脚本，通常称为XSS，是Web应用程序中经常发现的漏洞。XSS允许攻击者将客户端脚本注入到面向公众的网页中，并且在许多情况下，攻击者可以使用它们通过访问控制来进行工作。

 

8）不安全的反序列化（Insecure Deserialization）
串行化是将某些对象转换为可以稍后恢复的数据格式的过程。人们经常序列化对象，以将其保存到存储中或作为通信的一部分进行发送。反序列化是该过程的逆向过程-采取某种格式构造数据，然后将其重建为对象。

 

9）使用具有已知漏洞的组件（Using Components with Known Vulnerabilities）
组件（包括库和框架）可以从开源社区中获取，并且在潜伏漏洞的情况下应谨慎使用。当利用易受攻击的组件时，攻击者可以利用它并造成应用程序严重损坏，以及可能破坏应用程序甚至组织的大量数据丢失。

 

10）日志记录和监视的不足（Insufficient Logging & Monitoring）
根据OWASP的说法，日志记录和监视的不足，再加上事件响应的缺失或无效集成，使攻击者可以进一步攻击系统，保持持久性，转向更多系统以及篡改，提取或破坏数据。大多数违规研究表明，检测到违规的时间超过200天，通常由外部各方而不是内部流程或监视来检测。