OWASP Top 10 2017
No | 名称 | 说明 |
---|---|---|
1 | Injection 注入漏洞 | 利用应用程序弱点,通过恶意字符将恶意代码写入数据库,获取敏感数据或进一步在服务器执行命令 |
2 | Broken Authentication 失效的身份认证 | 与认证和会话管理相关的应用函数经常被错误地实现,从而允许攻击者破坏密码、密钥或是会话令牌,或者利用其他的应用漏洞来暂时或永久地获取用户身份信息 |
3 | Sensitive Data Exposure 敏感数据泄露 | 攻击者可能会窃取或篡改这些弱保护的数据,从而进行信用卡欺诈、身份盗窃或其他犯罪行为 |
4 | XML External Entities XML 外部实体漏洞 | 许多过时的或配置不当的XML处理器在XML文档内进行外部实体引用 |
5 | Broken Access Control 无效的访问控制 | 攻击者可以利用这些漏洞访问未经授权的功能和数据,例如访问其他用户的账户,查看敏感文件,篡改其他用户的数据,更改访问权限等 |
6 | Security Misconfiguration 安全配置错误 | 安全配置错误是最常见的问题。这通常是由不安全的默认配置,不完整开放云存储,错误配置的HTTP标头以及包含敏感信息的详细错误信息造成的 |
7 | Cross-Site Scripting 跨站脚本攻击 | XSS允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站中 |
8 | Insecure Deserialization 不安全的反序列化漏洞 | 不安全的反序列化漏洞通常会导致远程代码执行问题。即使反序列化错误不会导致远程代码执行,也可以被用来执行攻击,包括重放攻击、注入攻击以及权限提升攻击等 |
9 | Using Components with Known Vulnerabilities 使用含有已知漏洞的组件 | 如果存在漏洞的组件被利用,这种攻击可能会导致严重的数据丢失或服务器接管危机 |
10 | Insufficient Logging & Monitoring 日志记录和监控不足导致的风险 | 不足的记录和监控漏洞,再加上事件响应能力欠缺以及缺少有效的整合,使得攻击者可以进一步攻击系统,维持其持久性,转而攻击更多的系统,并篡改、提取或销毁数据 |
OWASP Top 10 2013
No | 名称 | 说明 |
---|---|---|
1 | Injection 注入漏洞 | 利用应用程序弱点,通过恶意字符将恶意代码写入数据库,获取敏感数据或进一步在服务器执行命令 |
2 | Broken Authentication and Session Management 失效的身份认证 | 与认证和会话管理相关的应用函数经常被错误地实现,从而允许攻击者破坏密码、密钥或是会话令牌,或者利用其他的应用漏洞来暂时或永久地获取用户身份信息 |
3 | Cross-Site Scripting<br/>跨站脚本攻击 | XSS允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站中 |
4 | Insecure Direct Object Reference<br/>不安全的直接对象引用 | |
5 | Security Misconfiguration<br/>安全配置错误 | 安全配置错误是最常见的问题。这通常是由不安全的默认配置,不完整开放云存储,错误配置的HTTP标头以及包含敏感信息的详细错误信息造成的 |
6 | Sensitive Data Exposure<br/>敏感数据泄露 | 攻击者可能会窃取或篡改这些弱保护的数据,从而进行信用卡欺诈、身份盗窃或其他犯罪行为 |
7 | Missing Function Level Access Control 缺少功能级别的访问控制 | |
8 | Cross-Site Request Forgery 跨站请求伪造 | |
9 | Using Components with Known Vulnerabilities 使用含有已知漏洞的组件 | 如果存在漏洞的组件被利用,这种攻击可能会导致严重的数据丢失或服务器接管危机 |
10 | Unvalidated Redirect and Forwards 未验证的重定向和转发 |
参考链接
https://owasp.org/www-project-top-ten/
https://www.jianshu.com/p/ba20f5f8f87
https://www.freebuf.com/articles/web/155145.html
2 comments
《局中人第二季》日本剧高清在线免费观看:https://www.jgz518.com/xingkong/35737.html
幸好没碰上过