在 开放Web应用基金会致力于创造一个更安全的网络应用环境。它免费提供文章、工具、技术和论坛，让每个开发人员都能创建安全的代码。其最著名的项目之一是 OWASP Top 10。OWASP Top 10 是根据开放 Web 应用程序安全项目公开共享的 10 个最关键的 Web 应用程序安全漏洞列表。根据 OWASP，漏洞是应用程序中的一个弱点，允许恶意方对应用程序的利益相关者(所有者、用户等)造成伤害。

　　OWASP Top 10 列表由全球 Web 应用程序安全专家开发并定期更新。旨在教育公司了解他们需要缓解以保护其 Web 应用程序的漏洞和关键安全风险。

　　1.注入攻击

　　一个 注入攻击 是指恶意代码的输入攻击者到应用程序迫使其执行命令妥协数据或整个应用程序。最常见的注入攻击类型是 SQL 注入和跨站点脚本 (XSS) 攻击，但也有代码注入、命令注入、CCS 注入等。

　　2. 破解认证

　　与身份验证和会话管理相关的应用程序功能 经常被错误地实现，允许攻击者破坏密码、密钥或会话令牌或利用其他实现缺陷来临时或永久地假设用户的身份。攻击者可以利用该漏洞劫持用户会话，访问或修改其无权访问的信息。

　　3. 敏感数据暴露

　　敏感数据泄露是最常见的攻击之一。它包括访问、修改或窃取未受保护的静止或传输中的数据(传输的数据)。此类数据通常包括个人身份信息 (PII)，例如凭据、健康记录、信用卡号等。缺乏加密是数据最终暴露的原因之一。获取敏感数据访问权限的方法各不相同，但可能包括攻击者窃取密钥、执行路径攻击(也称为中间人)、从服务器或用户窃取明文数据等。

　　4. XML 外部实体 (XXE)

　　默认情况下，许多旧的或配置不当的 XML 处理器会评估 XML 文档中的外部实体引用。这可以被设法上传 XML 文档(例如 DOCX 或 SVG 文件)或在 XML 文档中包含恶意内容的攻击者利用。在这种情况下，外部实体可用于使用文件 URI 处理程序提取内部文件。它们还可以启用内部文件共享、内部端口扫描、远程请求执行和拒绝服务攻击 (DOS) 的性能。

　　5. 破坏访问控制

　　损坏的访问控制 是指对经过身份验证的用户的行为实施限制时存在的漏洞。当限制没有得到正确执行时，攻击者可以利用这个弱点来获得对系统功能和敏感个人数据的未经授权的管理访问。他们还可以创建、修改或删除数据。

　　6. 安全配置错误

　　安全配置错误 是打开攻击面的常见问题。这通常是由于： 不安全的默认配置;不完整或临时配置;未修补的缺陷;未使用的页面;未受保护的文件和目录;开放云存储;错误配置的 HTTP 标头或加密;包含敏感信息的详细错误消息。不仅必须安全地配置所有操作系统、框架、库和应用程序，而且必须及时修补/升级它们。

　　7. 跨站脚本(XSS)

　　跨站点脚本是将客户端脚本注入到 Web 应用程序中，这是通过不对用户输入进行验证和正确编码来实现的。恶意脚本在最终用户的浏览器中执行并启用各种攻击——从窃取他们的会话到监控和更改受影响网站上的任何操作。存在不同类型的跨站点脚本攻击，具体取决于恶意脚本是非持久性注入还是持久性注入。此外，还区分了由客户端或服务器端有缺陷的输入验证引起的漏洞。

　　8. 不安全的反序列化

　　不安全反序列化 是一种攻击，其中将被操纵的对象注入到 Web 应用程序的上下文中。如果存在应用程序漏洞，则对象被反序列化并执行，从而导致 SQL 注入、路径遍历、应用程序拒绝服务和远程代码执行。

　　9.使用已知漏洞的组件

　　库、框架和其他软件模块等组件的权限与应用程序的权限相同。如果利用易受攻击的组件，则可能会丢失数据和服务器接管。使用具有已知漏洞的组件的应用程序和 API 可能会破坏应用程序防御并引发各种攻击和影响。这是一个普遍存在的问题。为了帮助您评估您使用的组件是否存在已知漏洞，指纹扫描仪会尝试检测任何Web服务器或We 应用程序框架以及服务器上运行的相关版本。

　　10. 日志记录和监控不足

　　日志记录和监控不足，再加上与事件响应的集成缺失或无效，使攻击者能够进一步攻击系统，保持持久性，转向更多系统，并篡改、提取或破坏数据。 大多数违规研究表明检测违规的时间超过 200 天，通常由外部方而不是内部流程或监控检测到。

　　注：本文部分文字和图片来源于网络，如有侵权，请联系删除。版权归原作者所有!此页面下方声明无效！

上一篇

网络传输技术有哪四种？

下一篇

网络安全基础知识整理