OWASP

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。

OWASP TOP 10是根据开放 Web 应用程序安全项目公开共享的 10 个最关键的 Web 应用程序安全漏洞列表。根据 OWASP，漏洞是应用程序中的一个弱点，它允许恶意方对应用程序的利益相关者（所有者、用户等）造成伤害。 

OWASP Top 10 列表由全球 Web 应用程序安全专家开发并定期更新。它旨在教育公司了解他们需要缓解以保护其 Web 应用程序的漏洞和关键安全风险。

此列表也正在为移动应用程序开发 。

在 Top 10 列表旁边，OWASP 还发布和维护以下资源：

OWASP测试指南：应用程序测试的“最佳实践”

OWASP Juice Shop用于安全培训的故意不安全的 Web 应用程序

1.注入攻击

一个注入攻击是指恶意代码的输入攻击者到应用程序迫使其执行命令妥协数据或整个应用程序。最常见的注入攻击类型是 SQL 注入和XSS攻击​​​​​​​但也有代码注入、命令注入、CCS注入等。

SQL注入是指利用由于用户输入中缺少元字符屏蔽或验证而导致的 SQL 数据库漏洞。 

攻击者试图通过有权访问数据库的应用程序注入他自己的数据库命令。但是，由于请求未正确验证，插入的代码更改了原始 SQL 命令，因此更改了有利于攻击者的结果。 

攻击成功后，攻击者可以窥探、修改或完全删除数据，并控制服务器。为此，攻击者有不同的方法来破坏系统。例如，可以通过响应时间或错误消息找到进入系统的途径。

2. 破解认证

与身份验证与会话管理相关的应用程序功能  经常被错误地实现，允许攻击者破坏密码、密钥或会话令牌或利用其他实现缺陷来临时或永久地假设用户的身份。 

攻击者可以利用该漏洞劫持用户会话，访问或修改其无权访问的信息。

如何防止损坏的身份验证漏洞？

为避免利用损坏的身份验证进行攻击，OWASP 建议采取以下措施：

• 引入确定密码弱点或强度的密码检查
• 将密码长度、复杂性和轮换与强大且现代的基于证据的密码策略保持一致
• 引入多因素身份验证，阻止使用被盗凭据、暴力攻击、填充等
• 使用服务器端安全会话管理器生成时间有限的新的随机会话 ID
• 避免 URL 中的会话 ID，安全地存储它们，并确保它们在用户注销、会话超时和空闲后失效
• 使用默认凭据时不允许部署 
• 在监控失败的登录尝试时限制或延迟它们。检测到攻击时向管理员发出警报

3. 敏感数据暴露

敏感数据泄露是最常见的攻击之一。它包括访问、修改或窃取未受保护的静止或传输中的数据（传输的数据）。此类数据通常包括个人身份信息 (PII)，例如凭据、健康记录、信用卡号等。缺乏加密是数据最终暴露的原因之一。

获取敏感数据访问权限的方法各不相同，但可能包括攻击者窃取密钥、执行路径攻击（也称为中间人）、从服务器或用户窃取明文数据等。