1、注入 对策:严格转义,屏蔽特定字符串、明确权限、不适用SHELL
2、失效身份认证 对策:使用区域访问限制、限时KEY
3、数据泄露 对策:访问控制
4、XSS 对策:(1)存储型:编写过滤器(2)反射型:转义字符(3)DOM:检查特殊函数
5、外部实体XXE 对策:禁用、过滤
6、安全配置错误 对策:及时更新,安全审计
7、失效访问控制 对策:私有资源拒绝访问或一次性访问控制
8、不安全反序列化 对策:数据校检
9、使用含漏洞组件 对策:及时更新,实施安全策略管理
10、日志监控不足 对策:确保所有操作都被记录到日志,及时备份
