OWASP TOP 10

注入

攻击者构造恶意数据并提交到服务器，从而导致服务器执行没有被授权的命令。会导致数据丢失，信息被破坏或者泄露敏感信息等，还可能获取服务器管理权限。

失效的身份认证

由于访问网站的用户身份不同，未经验证的恶意用户可能会冒充授权用户甚至管理员。主要由于应用程序中实现身份验证和会话管理的部分存在错误，从而导致攻击者获取密码，密钥或者会话令牌

敏感数据泄露

站点中的敏感信息，如财务，医疗数据等，但系统API无法对web应用程序进行正确的保护，使得攻击者可通关篡改敏感数据，或直接使用加密的数据进行诈骗等不法行为。

xml 外部实体（xxe)

许多较早的或配置错误的xml处理器评估了xml文件中外部实体引用，关键字system会使xml解析器从uri中读取内容，并允许它在xml文档中被替换。攻击者可通过实体将自定义的值发送给应用程序，即可构造恶意内容，造成任意文件读取，系统命令执行等危害。

失效的访问控制

服务器管理员没有对通过身份验证的用户实施合适的访问控制限制。攻击者可通过修改参数，绕过系统限制直接登录他人账户。

安全配置错误

不安全的默认配置，不完整的临时配置，开源云存储，错误的http标头配置以及包含敏感信息的详细错误信息所造成，攻击者可通过未修复的漏洞，访问默认账户，不再使用的页面，未受保护的文件和目录等来获取对系统未授权的访问或了解。

跨站脚本攻击

未对用户输入的html代码进行过滤，导致输入的代码可执行。

不安全的反序列化

反序列化是序列化的逆过程，由字节流生成对象。攻击者可通过此风险改变应用逻辑实现远程代码攻击，即使不会导致远程代码攻击，攻击者依然可利用此风险进行注入和权限提升等攻击。

使用含有已知漏洞的组件

不完善的日志记录和监控机制

如果系统的日志记录和监控机制不够完善，攻击者往往会在不被察觉的情况下完成他们的目标。