OWASP TOP 10

libo

[md]# OWASP Top 10：

10 大最关键 Web 应用安全隐患列表

## **A1：2017-Injection（注入漏洞）**

不可信的数据作为命令或查询语句的一部分被发送给解释器的时候，会发生注入漏洞，包括 SQL、NoSQL、OS 以及 LDAP 注入等。测试者发送的恶意数据可能会诱使解释器执行计划外的命令，或在没有适当授权的情况下访问数据。

## **A2：2017-BrokenAuthentication（失效的身份认证）**

通过错误使用应用程序的身份认证和会话管理功能，测试者能够破译密码、密钥或会话令牌，或者暂时或永久的冒充其他用户的身份。

## **A3：2017-Sensitive DataExposure（敏感数据泄露）**

许多 Web 应用程序和 API 不能正确的保护敏感数据，如金融、医疗保健和 PII（个人身份信息）等。测试者可能会窃取或篡改这些弱保护的数据，从而进行信用卡欺诈、身份盗窃或其他犯罪行为。在缺少额外保护（例如，在存放和传输过程中加密，且在与浏览器进行交换时需要特别谨慎）的情况下，敏感数据可能会受到损害。

## **A4：2017-XML ExternalEntities（XXE）(XML 外部处理器漏洞)**

许多过时的或配置不当的 XML 处理器在 XML 文档内进行外部实体引用。外部实体可用于泄露内部文件，通过使用文件 URI 处理器、内部文件共享、内部端口扫描、远程代码执行以及拒绝服务测试等手段。

## **A5：2017-Broken AccessControl（中断访问控制）**

限制“认证的用户可以实现哪些操作”的命令没有得到正确的执行。测试者可以利用这些漏洞访问未经授权的功能和数据，例如访问其他用户的账户，查看敏感文件，篡改其他用户的数据，更改访问权限等。

## **A6：2017-SecurityMisconfiguration（安全配置错误）**

安全配置错误是最常见的问题。这通常是由不安全的默认配置，不完整或 ad hoc 配置，开放云存储，错误配置的 HTTP 标头，以及包含敏感信息的详细错误信息造成的。所有的操作系统、框架、库、应用程序都需要进行安全配置外，还必须要及时进行系统更新和升级。

## **A7：2017-Cross-SiteScripting（XSS）(跨站脚本测试)**

如果应用程序在未经适当验证或转义的情况下，能够在新网页中包含不受信任的数据，或是使用可以创建 HTML 或者 JavaScript 的浏览器 API 更新包含用户提供的数据的现有网页，就会出现 XSS 漏洞。XSS 允许测试者在受害者的浏览器中执行脚本，这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站中。

## **A8：2017-InsecureDeserialization（不安全的反序列化）**

不安全的反序列化漏洞通常会导致远程代码执行问题。即使反序列化错误不会导致远程代码执行，也可以被用来执行测试，包括重放测试、注入测试以及权限提升测试等。

## **A9：2017-UsingComponents with Known Vulnerabilities（使用含有已知漏洞的组件）**

如果存在漏洞的组件被利用，这种测试可能会导致严重的数据丢失或服务器接管危机。使用已知漏洞组件的应用程序和 API 可能会破坏应用程序的防御系统，从而启动各种形式的测试，造成更为严重的影响。

## **A10：2017-InsufficientLogging & Monitoring（不足的记录和监控漏洞）**

不足的记录和监控漏洞，再加上事件响应能力欠缺以及缺少有效的整合，使得测试者可以进一步测试系统，维持其持久性，转而测试更多的系统，并篡改、提取或销毁数据。大部分的数据泄露研究显示，检测出发生数据泄漏的时间通常需要超过 200 天，而且通常是外部机构率先发现数据泄漏的事实，而不是通过内部的审计流程或监控发现的。
[/md]