概念:开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)总结的前十风险,最初只是为了提高开发人员的安全开发意识,但后来发展成为实际的应用安全标准。
OWASP中国官网:http://www.owasp.org.cn/
参考文档:http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf
1、注入
概念:将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预 期命令或访问数据。
简化理解:基于数据库基础知识的理解,通过构造sql语句使后台中的mysql验证部分提前闭合,并联合查询语句等使数据库中的敏感信息暴露。
难点:注入点的判断、语句的构造、一系列安全配置的绕过……
2、失效的身份认证
暴力破解、字典破解、GPU破解工具等,会话管理攻击:没有有过期的会话秘钥。
3、敏感信息泄露
信息传输过程中的未经过强力加密的敏感信息的窃取,三个部位:客户端(浏览器等)、服务端、中间人攻击。
4、XML外部实体
如果攻击者可以上传XML文档或