什么是OWASP TOP10?
OWASP(开放式Web应用程序安全项目),即对Web应用程序可能初选的最危险的漏洞分成10个类型,下面我将从10个分类进行以此介绍。
这里值得注意的是,OWASP TOP10有两个版本,一个是2013年的,一个是2017年的,我这里介绍的2017版本的。
A1注入
即攻击者将恶意数据作为命令或者数据查询的一部分传给了解析器,从而造成恶意命令的执行或者数据泄露的危险。
1.SQL注入
常见数据库有SQL Server,Oracle,MySQL(开源),PostgreSQL(开源)。
2.NoSQL注入
常见数据库有MongoDB,Redis,CouchDB
3.OS注入
4.LDAP(轻量目录访问协议)
应用场景为查询量大而修改量较少的数据管理系统。
A2失效的身份认证
通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者暂时或永久的冒充其他用户的身份。
A3敏感数据泄露
不对敏感数据进行加密,造成用户信息泄露
A4 XXE
如:XXE攻击
A5失效的访问控制
这个跟A2的区别在于,A2中攻击者并未获得通过身份认证的用户身份,而在A5中攻击者已经具备了通过身份认证的用户身份,只不过系统把一些不该基于该用户的权限给了该用户。
A6安全配置错误
不多介绍
A7跨站脚本XSS
XSS:攻击者往web应用程序插入恶意脚本,获得用户的cookie,钓鱼网站,把用户重定向到恶意站点,还可以执行拒绝服务攻击。
A8反序列化漏洞
如:PHP反序列化漏洞和JAVA反序列化漏洞
A9使用含有已知漏洞的组件
比方说使用了一些含有漏洞的CMS
A10不足的日志记录和监控
不多介绍