OWASP TOP 10

漏洞危险性排名

常见的 Web 漏洞有十个，称为 OWASP TOP 10
（注：2021 年排名已经更改，获取更详细的排名请跳转 https://owasp.org/Top10/）
TOP1 - 注入
TOP2 - 失效的身份认证和会话管理（破损认证）
TOP3-XSS (跨站脚本攻击)
TOP4 - 不安全的对象直接引用
TOP5 - 跨站请求伪造（CSRF）
TOP6 - 安全配置错误
TOP7 - 限制 URL 访问失败（缺少功能级访问控制）
TOP8 - 未验证的重定向和转发
TOP9 - 应用已知漏洞的组件
TOP10 - 敏感信息暴露

详细介绍

TOP1 - 注入：注入攻击漏洞，例如 SQL，OS 以及 LDAP 注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分，被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器，以执行计划外的命令或者在未被恰当授权时访问数据。

TOP2 - 失效的身份认证和会话管理：与身份认证和会话管理相关的应用程序功能往往得不到正确的实现，这就导致了攻击者破坏密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份。

TOP3 - 跨站脚本：当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给一个网页浏览器，这就会产生跨站脚本攻击（简称 XSS）。XSS 允许攻击者在受害者的浏览器上执行脚本，从而劫持用户会话、危害网站、或者将用户转向至恶意网站。

TOP4 - 不安全的直接对象引用：当开发人员暴露一个对内部实现对象的引用时，例如，一个文件、目录或者数据库密匙，就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时，攻击者会操控这些引用去访问未授权数据。

TOP5 - 跨站请求伪造：一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的 HTTP 请求，包括该用户的会话 cookie 和其他认证信息，发送到一个存在漏洞的 web 应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求，而这些请求会被应用程序认为是用户的合法请求。

TOP6 - 安全配置错误：好的安全需要对应用程序、框架、应用程序服务器、web 服务器、数据库服务器和平台定义和执行安全配置。由于许多设置的默认值并不是安全的，因此，必须定义、实施和维护这些设置。这包含了对所有的软件保持及时地更新，包括所有应用程序的库文件。

TOP7 - 功能级访问控制缺失：大多数 Web 应用程序在功能在 UI 中可见以前，验证功能级别的访问权限。但是，应用程序需要在每个功能被访问时在服务器端执行相同的访问控制检查。如果请求没有被验证，攻击者能够伪造请求以在未经适当授权时访问功能。

TOP8 - 未验证的重定向和转发：Web 应用程序经常将用户重定向和转发到其他网页和网站，并且利用不可信的数据去判定目的页面。如果没有得到适当验证，攻击者可以重定向受害用户到钓鱼软件或恶意网站，或者使用转发去访问未授权的页面。

TOP9 - 使用含有已知漏洞的组件：组件，比如：库文件、框架和其它软件模块，几乎总是以全部的权限运行。如果一个带有漏洞的组件被利用，这种攻击可以造成更为严重的数据丢失或服务器接管。应用程序使用带有已知漏洞的组件会破坏应用程序防御系统，并使一系列可能的攻击和影响成为可能。

TOP10 - 敏感信息泄漏：许多 Web 应用程序没有正确保护敏感数据，如信用卡，税务 ID 和身份验证凭据。攻击者可能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取，或其他犯罪。敏感数据值需额外的保护，比如在存放或在传输过程中的加密，以及在与浏览器交换时进行特殊的预防措施。