OWASP Top 10 Application Security Risks - 2017

在将不受信任的数据作为命令或查询的一部分发送到解释器时, 会发生诸如 SQL、NoSQL、OS 和 LDAP 注入等注入缺陷。攻击者的恶意数据可以诱使解释器在没有适当授权的情况下执行非预期命令或访问数据。

与身份验证和会话管理相关的应用程序功能通常不正确地实现, 使攻击者能够破坏密码、密钥或会话令牌, 或利用其他实现缺陷来暂时或永久使用其他用户的身份。

许多 web 应用程序和 api 都无法正确保护敏感数据, 如财务、医疗保健和 PII。攻击者可以窃取或修改此类受保护的弱数据, 以进行信用卡诈骗、身份盗窃或其他犯罪。敏感数据可能在没有额外保护的情况下被破坏, 例如在静止或传输时进行加密, 并且在与浏览器交换时需要特殊的预防措施。

许多较早或配置不佳的 xml 处理器评估 xml 文档中的外部实体引用。外部实体可用于使用文件 URI 处理程序、内部文件共享、内部端口扫描、远程代码执行和拒绝服务来攻击公开内部文件。

对允许通过身份验证的用户执行的限制通常不正确。攻击者可以利用这些缺陷访问未经授权的功能和/或数据, 例如访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。

安全配置错误是最常见的问题。这通常是由于不安全的默认配置、不完整或临时配置、打开的云存储、配置错误的 HTTP 标头以及包含敏感信息的详细出错消息造成的。不仅必须对所有操作系统、框架、库和应用程序进行安全的配置, 而且必须及时修补/升级它们。

当应用程序在新网页中包含不受信任的数据而不进行正确的验证或转义时, 或使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有网页时, 就会出现 XSS 缺陷。XSS 允许攻击者在受害者的浏览器中执行脚本, 这样可以劫持用户会话、污损网站或将用户重定向到恶意站点。

不安全的反序列化通常会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行, 也可以使用它们来执行攻击, 包括重播攻击、注入攻击和特权升级攻击。

组件 (如库、框架和其他软件模块) 与以应用程序相同的权限运行。如果有漏洞的组件被利用, 这样的攻击可以促进严重的数据丢失或服务器接管。使用已知漏洞的组件的应用程序和 api 可能会破坏应用程序防御并启用各种攻击和影响。

日志记录和监视不足, 加之与事件响应的集成丢失或无效, 使得攻击者能够进一步攻击系统、维护持久性、转向更多系统以及篡改、提取或销毁数据。大多数违规研究显示, 发现违约的时间超过 200 天, 通常由外部检测, 而不是内部过程或监控。

↙↙↙阅读原文可查看相关链接，并与作者交流