web渗透测试----29、OWASP TOP 10----2017版

OWASP Top 10是Web应用程序中最常见的漏洞类型。
OWASP top 10中文版地址：2017 top 10

本来是打算学习完之后记录一下学习过程，但是这篇文档已经把漏洞发现到防御总结完了，所以我也就按照文档学习了一遍。
关于每种漏洞具体的信息，想学习的朋友可以参照这个中文文档。

---

---

1、注入

当不受信任的数据作为命令或查询的一部分发送到解释器时，将发生注入缺陷，如 SQL、NoSQL、OS 和 LDAP 注入。攻击者的恶意数据可能诱使解释者在没有适当授权的情况下执行意外命令或访问数据。

2、身份验证和会话管理中断

与身份验证和会话管理相关的应用程序功能通常实现不正确，允许攻击者泄露密码、密钥或会话令牌，或利用其他实现缺陷临时或永久地假定其他用户的身份。

3、敏感数据暴露

许多 Web 应用程序和 API 无法正确保护敏感数据，如财务、医疗保健和 PII。攻击者可能会窃取或修改此类保护薄弱的数据，以进行信用卡欺诈、身份盗窃或其他犯罪。敏感数据可能未经额外保护（如静态加密或传输中加密）而遭到破坏，并且与浏览器交换时需要特别预防措施。

4、XML外部实体注入(XXE)

许多较旧或配置不良的 XML 处理器会评估 XML 文档中的外部实体引用。外部实体可用于使用文件 URI 处理程序、内部文件共享、内部端口扫描、远程代码执行和拒绝服务攻击来披露内部文件。

5、访问控制缺陷

对允许经过身份验证的用户执行哪些内容的限制通常未得到适当实施。攻击者可以利用这些缺陷访问未经授权的功能和/或数据，例如访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。

6、安全配置错误

安全配置错误是最常见的问题。这通常是由于不安全的默认配置、不完整或临时配置、打开的云存储、配置错误的 HTTP 标头以及包含敏感信息的冗长错误消息造成的。不仅必须安全地配置所有操作系统、框架、库和应用程序，而且必须及时修补/升级它们

7、跨站脚本（XSS）

每当应用程序在没有正确验证或转义的情况下在新网页中包含不受信任的数据，或者使用可创建 HTML 或 JavaScript 的浏览器 API 使用用户提供的数据更新现有网页时，就会出现 XSS 缺陷。XSS 允许攻击者在受害者的浏览器中执行脚本，这些脚本可以劫持用户会话、污损网站或将用户重定向到恶意网站。

8、不安全的反序列化

不安全的反序列化通常会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行，它们也可用于执行攻击，包括重放攻击、注入攻击和权限升级攻击。

9、使用具有已知漏洞的组件

组件（如库、框架和其他软件模块）以与应用程序相同的权限运行。如果漏洞组件被利用，此类攻击可能会助长严重的数据丢失或服务器接管。使用具有已知漏洞的组件的应用程序和 API 可能会破坏应用程序防御，并启用各种攻击和影响。

10、日志记录和监视不足

日志记录和监视不足，加上缺少或无效与事件响应的集成，攻击者可以进一步攻击系统、保持持久性、转向更多系统以及篡改、提取或销毁数据。大多数违规研究表明，检测违规的时间超过 200 天，通常由外部方检测，而不是内部流程或监控。