OWASP TOP 10 (2017)

A1:注入


  注入攻击漏洞，例如SQL，OS以及LDAP注入。这些攻击发生在当不可信的数据作为命
令或者查询语句的一部分，被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释
器，以执行计划外的命令或者在未被恰当授权时访问数据。




A2：失效的身份验证和会话管理


  与身份认证和会话管理相关的应用程序功能往往得不到正确的实现，这就导致了攻击者破坏密码，密钥，会话令牌或攻击其他的漏洞去冒充其他用户的身份（暂时或者永久的)。


A3：跨站脚本（XSS）


  当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给一个网页浏览器，或者使用可以创建javaScript脚本的浏览器API利用用户提供的数据更新现有网页，这就会产生跨站脚本攻击。XSS允许攻击者在受害者的浏览器上执行脚本，从而劫持用户会话、危害网站或者将用户重定向到恶意网站。






A4：失效的访问控制


  对于通过认证的用户所能执行的操作，缺乏有效的限制，攻击者就可以利用这些缺陷来访问没有经过授权的功能和数据，例如:访问其他用户的账户，查看敏感的文件，修改其他用户的数据，更改访问权限等。


A5：安全配置错误


  好的安全需要对应用程序，框架，应用程序服务器，Web服务器，数据库服务器和平台定义和执行安全配置，由于许多设置的默认值并不是安全的，因此，必须定义，实施和维护这些设置，此外所有的软件应该保持及时更新。






A6：敏感信息泄露


  许多Web应用程序和API没有正确保护敏感数据，例如：财务等，攻击者可能会窃取或者篡改此类弱保护的数据，进行身份窃取等非法行为。敏感数据应该具有额外的保护，例如：在存放或者传输的过程中加密以及在和浏览器进行交换时进行特殊的防御措施。


A7：攻击检测与防护不足(新增）


  大多数应用和API缺乏检测，预防和相应手动或者自动化攻击的能力，攻击保护措施不限于基本输入验证，还应具备自动监测，记录，甚至阻止攻击的能力。应用所有者还应能够快速部署安全补丁以防御攻击。




A8：跨站请求伪造（CSRF）


  一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求，包括受害者的会话cookie和所有其他自动填充的身份认证信息，发送到一个存在洞的web应用程序。这种攻击允许攻击迫使受害者的浏览器生成让存在漏洞的应用程序认为是受害者的请求。




A9：使用含有已知漏洞的组件


  如果一个带有漏洞的组件被利用，这种攻击可以促成严重的数据丢失或者服务器接管，应用程序和API使用带有已知漏洞的组件可能破坏应用程序的防御系统，并使一系列可能的攻击和影响成为可能。


A10：未受有效保护的API（新增）


  现代应用程序通常涉及丰富的客户端应用程序和API。这种API通常是不受保护的，并且包含许多的漏洞。