目前越来越多的网上业务都依赖Web系统,因此很多恶意攻击者会对Web服务器进行攻击,Web业务平台成为了黑客攻击的重点目标,为了防止黑客的攻击,除了对Web服务器做相应的加固配置外,Web应用程序的设计和开发也需要杜绝黑客攻击隐患。下面是OWASP TOP10近三次版本变化(四年更新一次):
2013版 | 2017版 | 2021版 |
A1—注入 | A01:2017—注入 | A01:2021—失效的访问控制 |
A2—失效的身份认证和会话管理 | A02:2017—失效的身份认证 | A02:2021—加密机制失效 |
A3—跨站脚本(XSS) | A03:2017—敏感信息泄露 | A02:2021—注入 |
A4—不安全的直接对象引用 | A04:2017—XML外部实体(XXE) | A04:2021—安全配置错误 |
A5—安全配置错误 | A05:2017—失效的访问控制 | A05:2021—安全配置错误 |
A6——敏感信息泄露 | A06:2017—安全配置错误 | A06:2021—自带缺陷和过时的组件 |
A7—功能级访问控制缺失 | A07:2017—跨站脚本(XXS) | A07:2021—身份识别和身份验证错误 |
A8—跨站请求伪造(CSRF) | A08:2017—不安全的反序列化 | A08:2021—软件和数据完整性故障 |
A9—使用含有已知漏洞的组件 | A09:2017—使用含有已知漏洞的组件 | A09:2021—安全日志和监控故障 |
A10—未验证的重定向和转发 | A10:2017—不足的日志记录和监控 | A10:2021—服务端请求伪造 |