Web应用程序设计缺陷

1. 身份验证

身份伪造，口令破解，权限提升和未授权访问。

2.权限管理

访问机密或受限数据，篡改和执行未授权操作。

3.会话管理

通过捕获导致会话劫持和会话伪造。

4.输入校验

通过嵌入查询字符串，窗体字段，Cookie和HTTP标头中的恶意字符串来执行攻击。包括命令执行，跨站脚本编写，XSS，SQL注入和缓冲区溢出攻击……

5. 参数操作

路径遍历攻击，命令执行，旁路访问控制机制，导致信息泄漏，权限提升和拒绝服务。

6. 敏感数据

机密信息泄漏和数据篡改。

7. 加密技术

未授权访问机密数据或账号信息

8. 异常管理

拒绝服务和敏感的系统级详细信息泄漏。

9. 安全审计

未能识别入侵征兆，无法证明用户的操作，以及在问题诊断中存在困难。

10 配置管理

未经授权访问管理界面，更新配置数据，访问用户账号和账号配置文件。