总有OWASP 十大 Web 漏洞列表

来自 OWASP 报告的每个小总结：

1. 注入- 当不可信数据作为命令或查询的一部分发送到解释器时，会出现注入缺陷，例如 SQL、OS 和 LDAP 注入。攻击者的恶意数据可以欺骗解释器执行意外命令或访问未经授权的数据。

2. 跨站点脚本——每当应用程序获取不受信任的数据并将其发送到 Web 浏览器而没有适当的验证和转义时，就会出现 XSS 缺陷。XSS 允许攻击者在受害者的浏览器中执行脚本，这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站。

3. Broken Authentication and Session Management - 与身份验证和会话管理相关的应用程序功能通常无法正确实现，从而使攻击者能够破坏密码、密钥、会话令牌，或利用其他实现缺陷来冒充其他用户的身份。

4. 不安全的直接对象引用 - 当开发人员公开对内部实现对象（例如文件、目录或数据库密钥）的引用时，就会发生直接对象引用。如果没有访问控制检查或其他保护，攻击者可以操纵这些引用来访问未经授权的数据。

5. 跨站点请求伪造 (CSRF) - CSRF 攻击迫使登录的受害者浏览器向易受攻击的 Web 应用程序发送伪造的 HTTP 请求，包括受害者的会话 cookie 和任何其他自动包含的身份验证信息。这允许攻击者强制受害者的浏览器生成易受攻击的应用程序认为是来自受害者的合法请求的请求。

6. 安全性错误配置- 良好的安全性需要为应用程序、框架、应用程序服务器、Web 服务器、数据库服务器和平台定义和部署安全配置。所有这些设置都应该被定义、实施和维护，因为许多设置没有附带安全默认值。这包括使所有软件保持最新，包括应用程序使用的所有代码库。

7. 不安全的加密存储- 许多 Web 应用程序没有使用适当的加密或散列适当地保护敏感数据，例如信用卡、SSN 和身份验证凭证。攻击者可能会窃取或修改此类受保护较弱的数据，以进行身份​​盗窃、信用卡欺诈或其他犯罪。

8. 未能限制 URL 访问- 许多 Web 应用程序在呈现受保护的链接和按钮之前检查 URL 访问权限。但是，每次访问这些页面时，应用程序都需要执行类似的访问控制检查，否则攻击者将能够伪造 URL 以访问这些隐藏页面。

9. 传输层保护不足- 应用程序经常无法验证、加密和保护敏感网络流量的机密性和完整性。当他们这样做时，他们有时会支持弱算法，使用过期或无效的证书，或者没有正确使用它们。

10. 未经验证的重定向和转发- Web 应用程序经常将用户重定向和转发到其他页面和网站，并使用不受信任的数据来确定目标页面。如果没有适当的验证，攻击者可以将受害者重定向到网络钓鱼或恶意软件站点，或者使用转发来访问未经授权的页面。

MITRE CWE 项目列出了软件弱点，MITRE CAPEC 项目列出了枚举针对应用程序的攻击路径的途径。

两者都是Make Security Measurable项目的一部分，该项目包括 CVE 之类的东西，我希望你已经听说过。如果没有，请通过评论告诉我，我会给出更平易近人的介绍。CVE、CWE 和 CAPEC 是此页面链接中列出的前 3 个项目。

OWASP Top 10或WASC 威胁分类可以很好地概述可以测试的内容以及应该关注的内容。如果您想更深入，OWASP 测试指南是很好的资源（它还可以帮助您创建适合您的 Web 应用程序安全要求的“检查列表”）。

开放 Web 应用程序安全项目 (OWASP) 定期发布常见安全缺陷列表：2004 年、2007 年、2010 年

关于 XSS 的主题：Cross Site Scripting Prevention Cheat Sheet提供了很多关于如何避免 XSS 漏洞的信息。XSS 备忘单列出了常见的 xss 漏洞，这些漏洞是由于转义逻辑中的缺失案例造成的。