1、注入 對策:嚴格轉義,屏蔽特定字符串、明確權限、不適用SHELL
2、失效身份認證 對策:使用區域訪問限制、限時KEY
3、數據泄露 對策:訪問控制
4、XSS 對策:(1)存儲型:編寫過濾器(2)反射型:轉義字符(3)DOM:檢查特殊函數
5、外部實體XXE 對策:禁用、過濾
6、安全配置錯誤 對策:及時更新,安全審計
7、失效訪問控制 對策:私有資源拒絕訪問或一次性訪問控制
8、不安全反序列化 對策:數據校檢
9、使用含漏洞組件 對策:及時更新,實施安全策略管理
10、日志監控不足 對策:確保所有操作都被記錄到日志,及時備份
