1.注入
注入攻击漏洞,例如SQL、OS、LDAP注入。这些攻击发生在当不可信的数据作为命令或查询语句的一部分,被发送给解释器的时候,攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或未授权的查询。
2.失效的身份认证和会话管理
与身份认证和会话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、秘钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份。
3.XSS跨站脚本
当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送给一个网页浏览器,这就会产生XSS,XSS允许攻击者在浏览器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向恶意网站。
4.不安全的直接对象引用
当开发人员暴露一个内部实现对象的引用时,就会产生一个不安全的直接对象引用,在没有访问控制检测或其他保护时,攻击者会操控这些相用去访问未授权数据。
5.安全配置错误
好的安全需要对应用程序、框架、应用程序服务器、web服务器、数据库服务器和平台定义和执行安全配置。由于许设置的默认值并不是安全的,因此,必须定义、实施和维护这些设置。这包含了对所有的软件保持及时更新,包括所有应用程序的库文件。
6.敏感信息泄露
许多web应用程序没有正确包含敏感数据,敏感数据需要额外的保护。
7.功能级访问控制缺失
8.CSRF跨站请求伪造。
9.使用包含已知漏洞的组件。
10.未验证的重定向和转发。
最后欢迎大家访问我的个人网站:1024s