OWASP Top 10 2017

No名称说明
1Injection
注入漏洞
利用应用程序弱点,通过恶意字符将恶意代码写入数据库,获取敏感数据或进一步在服务器执行命令
2Broken Authentication
失效的身份认证
与认证和会话管理相关的应用函数经常被错误地实现,从而允许攻击者破坏密码、密钥或是会话令牌,或者利用其他的应用漏洞来暂时或永久地获取用户身份信息
3Sensitive Data Exposure
敏感数据泄露
攻击者可能会窃取或篡改这些弱保护的数据,从而进行信用卡欺诈、身份盗窃或其他犯罪行为
4XML External Entities
XML 外部实体漏洞
许多过时的或配置不当的XML处理器在XML文档内进行外部实体引用
5Broken Access Control
无效的访问控制
攻击者可以利用这些漏洞访问未经授权的功能和数据,例如访问其他用户的账户,查看敏感文件,篡改其他用户的数据,更改访问权限等
6Security Misconfiguration
安全配置错误
安全配置错误是最常见的问题。这通常是由不安全的默认配置,不完整开放云存储,错误配置的HTTP标头以及包含敏感信息的详细错误信息造成的
7Cross-Site Scripting
跨站脚本攻击
XSS允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站中
8Insecure Deserialization
不安全的反序列化漏洞
不安全的反序列化漏洞通常会导致远程代码执行问题。即使反序列化错误不会导致远程代码执行,也可以被用来执行攻击,包括重放攻击、注入攻击以及权限提升攻击等
9Using Components with Known Vulnerabilities
使用含有已知漏洞的组件
如果存在漏洞的组件被利用,这种攻击可能会导致严重的数据丢失或服务器接管危机
10Insufficient Logging & Monitoring
日志记录和监控不足导致的风险
不足的记录和监控漏洞,再加上事件响应能力欠缺以及缺少有效的整合,使得攻击者可以进一步攻击系统,维持其持久性,转而攻击更多的系统,并篡改、提取或销毁数据

OWASP Top 10 2013

No名称说明
1Injection
注入漏洞
利用应用程序弱点,通过恶意字符将恶意代码写入数据库,获取敏感数据或进一步在服务器执行命令
2Broken Authentication and Session Management
失效的身份认证
与认证和会话管理相关的应用函数经常被错误地实现,从而允许攻击者破坏密码、密钥或是会话令牌,或者利用其他的应用漏洞来暂时或永久地获取用户身份信息
3Cross-Site Scripting<br/>跨站脚本攻击XSS允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站中
4Insecure Direct Object Reference<br/>不安全的直接对象引用
5Security Misconfiguration<br/>安全配置错误安全配置错误是最常见的问题。这通常是由不安全的默认配置,不完整开放云存储,错误配置的HTTP标头以及包含敏感信息的详细错误信息造成的
6Sensitive Data Exposure<br/>敏感数据泄露攻击者可能会窃取或篡改这些弱保护的数据,从而进行信用卡欺诈、身份盗窃或其他犯罪行为
7Missing Function Level Access Control
缺少功能级别的访问控制
8Cross-Site Request Forgery
跨站请求伪造
9Using Components with Known Vulnerabilities
使用含有已知漏洞的组件
如果存在漏洞的组件被利用,这种攻击可能会导致严重的数据丢失或服务器接管危机
10Unvalidated Redirect and Forwards
未验证的重定向和转发

参考链接

https://owasp.org/www-project-top-ten/
https://www.jianshu.com/p/ba20f5f8f87
https://www.freebuf.com/articles/web/155145.html

Last modification:March 25th, 2021 at 07:30 pm
硬币投入口