OWASP前十大漏洞

OWASP TOP 10 20201）注入2）失效身份认证和会话管理3）敏感信息泄露4）XML外部实体注入攻击（XXE）5）访问控制中断6）安全性错误配置7）跨站脚本攻击（XSS）8）不安全的反序列化9）使用具有已知漏洞的组件10）日志记录和监控不足注入当攻击者将无效的数据发送给web应用程序来让其执行为设计的操作，就会发生代码注入问题。

此安全漏洞最常见的示例便是使用不受信任数据的SQL查询，代码注入漏洞的核心是缺乏对web应用程序使用的数据的验证和清理。

任何接收参数作为输入的内容都可能受到代码注入攻击。

危害：注入可以使数据丢失或者被破坏掉，并且缺乏可审计性或者拒绝服务。

注入漏洞有时甚至可导致完全接管主机。

防御方法：1）首选方法是使用安全的API接口，该API避免完全使用解释器，或者说提供参数化的接口或迁移为使用对象关系映射工具（ORM）。

注意：即使说你参数化了，但是如果PL/SQL或者T-SQL连接查询和数据，或者说使用EXCLUTE IMMEDIATE 或者exec()执行恶意数据，则存储过程仍然可以引入SQL注入。

2）使用肯定或“白名单”服务器端输入验证，由于许多应用程序都需要特殊字符，例如文本区域或者移动应用程序的API，因此这并不是一个完整的防御措施3）对于任何残留的动态查询，请使用该解释程序的特定转义语义来转义特殊字符，注意，表名（table），列名（column）等SQL结构无法转义，因此用户提供的结构名很危险，这是报表编写软件中的常见问题4）在查询中使用limit和其他SQL控件可防止SQL注入的情况下大量泄露记录总结：数据和web引用程序逻辑要分离实施限制，以在成功进行注入攻击的情况下限制数据公开失效的身份验证和会话管理身份验证漏洞可能让攻击者能尝试控制他们在系统中想要的任何账户，甚至更遭的是，获得对系统的完全控制，身份验证和会话管理失效通常是指在应用程序身份验证机制上发生的逻辑问题，例如恶意行为者脑力破解系统中的有效用户。

（BETA）鸣谢感谢SecZone自2014年Mobile TOP 10项目成立以来，对该项目持续的跟进、翻译、研究、分享。

同时，我们也对该项目的主要翻译人员王颉表示感谢。

Mobile TOP 10 项目支持单位：目录鸣谢 (2)OWASP Mobile Top 10简介 (5)M1：平台使用不当 (7)1.1.概述 (7)1.2.明显特征 (7)1.3.风险 (8)1.4.举例 (8)M2：不安全的数据存储 (9)2.1.概述 (9)2.2.明显特征 (10)2.3.风险 (10)2.4.举例 (空) (10)M3：不安全的通信 (11)3.1.概述 (11)3.2.明显特征 (11)3.3.风险 (11)3.4.举例 (12)M4：不安全的身份验证 (13)4.1.概述 (13)4.2.明显特征 (13)4.3.风险 (14)4.4.举例 (14)M5：加密不足 (16)5.1.概述 (16)5.2.明显特征 (16)5.3.风险 (16)5.4.举例 (17)M6：不安全的授权 (18)6.1.概述 (18)6.2.明显特征 (18)6.3.风险 (18)6.4.举例 (18)M7：客户端代码质量问题 (19)7.1.概述 (19)7.2.明显特征 (19)7.3.风险 (19)7.4.举例 (19)M8：代码篡改 (20)8.1.概述 (20)8.2.明显特征 (20)8.3.风险 (20)8.4.举例 (20)M9：逆向工程 (21)9.1.概述 (21)9.2.明显特征 (21)9.3.风险 (21)9.4.举例 (21)M10：无关的功能 (22)10.1.概述 (22)10.2.明显特征 (22)10.3.风险 (22)10.4.举例 (22)OWASP Mobile Top 10简介M1-平台使用不当这个类别包括平台功能的滥用，或未能使用平台的安全控制。

它可能包括Android 的意图（intent）、平台权限、TouchID的误用、密钥链（KeyChain）、或是移动操作系统中的其他一些安全控制。

OWASP TOP 10-2010开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。

其目的是协助个人、企业和机构来发现和使用可信赖软件。

OWASP发布了最新的Web应用脆弱性的top 10，这是继2007年OWASP对TOP10进行修订后进行的又一次更改，该版本暂定为OWASP TOP 10- 2010。

在新版本的OWASP TOP10中主要由以下变化：1. Top10的命名发生了变化。

原先的Top10全称为“The top 10 most critical web application security vulnerabilities”，即“Web应用的十大关键脆弱性”，现在Top10的全称为“The top 10 most critical web application security risks”，即“Web应用的十大关键风险”2. OWASP Top 10的风险评估方法此次Top 10的评估是依据OWASP的风险评估方法来对OWASP TOP10排序的。

3. 替换了2个风险此次Top 10与2007年的Top 10相比，在内容上去掉了“Malicious File Execution”(恶意文件执行)和“Information leakage and improper error handling”(信息泄露及不恰当的错误处理)，增加了“Security misconfiguration”(错误安全配置)和“Unv alidated redirects and forwards”(未验证的重定向和传递)。

OWASP TOP10 2007 OWASP TOP10 2010A2-注入 A1-注入A1-跨站脚本（XSS） A2-跨站脚本（XSS）A7-错误的认证和会话管理 A3-错误的认证和会话管理A4-不正确的直接对象引用 A4-不正确的直接对象引用A5-伪造跨站请求（CSRF） A5-伪造跨站请求（CSRF）A6-安全性误配置A10-限制远程访问失败 A7-限制远程访问失败A8-未验证的重定向和传递A8-不安全的加密存储 A9-不安全的加密存储A9-不足的传输层保护 A10-不足的传输层保护A3-恶意文件执行A6-不安全的通讯OWASP风险评估方法OW ASP所选取的10大风险是依据OW ASP的风险评估方法，我们从标准的风险模型开始，即风险=可能性*后果，下面我们以以下步骤来说明某个风险的严重程度：第一步：识别风险识别风险作为评估的第一步，我们必须找到与这个风险相关的威胁、相应的攻击方法、隐含在里面的脆弱性以及最终可能造成的后果，当然可能存在多种攻击方法和多种后果，在评估时我们往往会采用最坏选择，这样就能更客观的反应该风险的最终评级；第二步：考虑影响可能性的因素通常，我们不可能很精准的说出某个风险的可能性数值，所以我们一般用高、中、低来表示，而且影响某个风险的可能性的因素有很多，对于每个因素我们用0到9的数值来表示。

OWASPTOP10学习备份TOP1-注⼊简单来说，注⼊往往是应⽤程序缺少对输⼊进⾏安全型检查所引起的，攻击者把⼀些包含指令的数据发送给解释器，解释器会把收到的数据转换成指令执⾏。

常见的注⼊包括sql注⼊，--os-shell，LDAP（轻量），xpath（XPath即为XML路径语⾔，它是⼀种⽤来确定（的⼦集）⽂档中某部分位置的语⾔），HQL注⼊等。

危害如下：注⼊可以导致数据丢失或被破坏，缺乏可审计性或拒绝服务。

注⼊漏洞有时甚⾄可导致完全接管主机如何防范：1.使⽤安全的API，避免使⽤解释器2.对输⼊的特殊的字符进⾏ESCAPE转义处理例⼦：LIKE '%M%' ESCAPE ‘M’使⽤ESCAPE关键字定义了转义字符“M”，告诉DBMS将搜索字符串“%M%”中的第⼆个百分符（%）作为实际值，⽽不是通配符3.使⽤⽩名单来规范化的输⼊验证⽅法TOP2-失效的⾝份认证和会话管理与认证和会话管理相关的应⽤程序功能往往得不到正确实施，导致了攻击者可以破坏密码，密钥，会话令牌或实施漏洞冒充其他⽤户⾝份危害如下：这些漏洞可能导致部分甚⾄全部账户遭受攻击，⼀旦攻击成功，攻击者就能执⾏合法的任何操作如何防范：1.使⽤内置的会话管理功能2.通过认证的问候3.使⽤单⼀的⼊⼝点4.确保在⼀开始登录SSL保护的⽹页TOP3-跨站XSS跨站脚本是最普遍的web应⽤安全漏洞。

当应⽤程序在发送给浏览器的页⾯中包含⽤户提供的数据，但没有经过适当验证和转义，就会导致跨站危害如下：攻击者在受害者浏览器中执⾏脚本以劫持⽤户会话，插⼊恶意内容，重定向⽤户，使⽤恶意软件劫持⽤户浏览器等种类：存储型，反射型，DOM型如何防范：1.验证输⼊2.编码输出（⽤来确保输⼊的字符被视为数据，⽽不是作为html被浏览器所解析）TOP4-不安全的对象直接引⽤意指⼀个已经授权的⽤户通过更改访问时的⼀个参数，从⽽访问到原本其并没有得到授权的对象危害如下：这种漏洞可以损坏参数所引⽤的所有数据如何防范：1.使⽤基于⽤户或会话的间接对象访问，这样可防⽌攻击者直接攻击为授权资源2.访问检查：对任何来⾃不受信源所使⽤的所有对象进⾏访问控制检查3.避免在url或⽹页中直接引⽤内部⽂件名或数据库关键字4.验证⽤户输⼊和url请求，拒绝包含./ ../的请求TOP5-伪造跨站请求（CSRF）跨站请求伪造，利⽤了⽹站允许攻击者预测特定操作所有细节这⼀特点。

Web漏洞评定标准引言随着网络技术的迅速发展，Web应用程序已经成为了人们生活中不可或缺的一部分。

然而，Web应用程序的安全性问题也随之而来，容易受到各种攻击，例如SQL注入、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）等。

为了确保Web应用程序的安全性，我们需要进行漏洞评定，以及采取相应的防护措施。

漏洞评定标准Web漏洞评定标准是一组规则和方法，用于确定Web应用程序中存在的漏洞类型和严重程度。

以下是常见的Web漏洞评定标准：OWASP Top 10OWASP（Open Web Application Security Project）是一个致力于改善Web应用程序安全性的国际组织。

OWASP Top 10是最为经典的Web漏洞评定标准之一，它列举了当前最常见的十种Web漏洞，并按照严重程度排序。

包括以下漏洞类型：- 注入攻击（Injection） - 跨站脚本攻击（XSS） - 不安全的直接对象引用（Insecure Direct Object References） - 跨站请求伪造（CSRF） - 不正确的身份认证与会话管理（Broken Authentication and Session Management） - 剥离攻击（Security Misconfiguration） - 敏感信息泄露（Sensitive Data Exposure） - 无效的重定向与转发（Unvalidated Redirects and Forwards） - 高危组件使用（Using Components with Known Vulnerabilities） - 不充分的日志记录与监控（Insufficient Logging and Monitoring）Common Weakness Enumeration (CWE)CWE是一种用于详细描述软件安全问题的标准化列表，其中包括多种Web漏洞类型。

owasp2021top10漏洞简介官⽅:接下来简单对各个漏洞再做个描述top1：权限控制失效(Broken Access Control)⽂件包含/⽬录遍历权限绕过（⽔平越权）权限提升（垂直越权）不安全直接对象的引⽤top2：加密失败（Cryptographic Failure）敏感数据传输（通过HTTP、FTP、SMTP等）或以明⽂形式存储（在数据库、⽂件等中）。

使⽤旧的或较弱的加密算法使⽤弱加密密钥或默认加密密钥，或重复使⽤受损密钥与服务器通信时未强制加密或未验证服务器证书。

top3：注⼊(injection)SQL/NoSQL注⼊命令注⼊服务器端模板注⼊头部注射内容注⼊（XSS、HTML注⼊、CSS注⼊）top4：不安全设计（ Insecure Design）缺少⽤户输⼊边界可能会导致缓冲区溢出等问题使⽤不安全的API或函数可能会导致妥协：例如，考虑使⽤没有任何种⼦的随机数，或者在不考虑嵌⼊⽂件可能具有的绝对或相对路径的情况下提取归档⽂件。

使⽤⽐所需权限更⾼权限的应⽤程序。

top5：安全配置错误（Security Misconfiguration）在新的OWASP前⼗名列表中，XXE和安全错误配置（2017年的列表）被合并为安全错误配置。

过度许可的特权被分配给实体启⽤了不必要的功能或服务默认帐户保持激活状态，但是默认密码不变安全标头未发送或权限过⼤（例如，权限过⼤的CORS或CSP策略）未启⽤安全功能（防⽕墙规则、SELinux、Windows Defender等）top6：Vulnerable and Outdated Components客户端和服务器端代码中的易受攻击组件（操作系统或软件包、应⽤程序、运⾏时环境）。

不安全的软件配置正在使⽤的组件的依赖关系链中的旧的/未修补的依赖关系。

top7：识别和⾝份验证失败 Identification and Authentication Failures⽆法防⽌⾃动攻击，如凭证内容或暴⼒破解密码密码重置或恢复流程中存在缺陷在电⼦邮件/密码更新、注销、不活动、重新登录后不处理（使其失效或循环）会话标识符top8：软件和数据完整性故障（Software and Data Integrity Failures）维护始终确保您使⽤的应⽤程序是可信的，并且使⽤了合理的安全措施作为⼀名开发⼈员，请确保应⽤程序已签名，并且受信任的数据源也是防篡改的确保您的CI/CD管道是安全的，并且没有任何恶意代码进⼊在代码进⼊⽣产之前对其进⾏审核经常使⽤你的软件，以确保⾼安全级别top9：安全⽇志记录和监控故障（Security Logging and Monitoring Failures）登录和失败的尝试未被记录如果本地保存⽇志的应⽤程序服务器出现故障，则未备份⽇志不提供任何有价值的信息或见解的模糊或不正确的⽇志监控系统⽆法检测可疑活动或⽆法（近）实时发出警报缺少监控和警报系统⽇志不受完整性保护top10：服务器端请求伪造（Server-Side Request Forgery）也就是ssrf向提供的webhook URL发送GET/POST请求的应⽤程序显⽰URL预览的应⽤程序。

Who Needs OWASP? Create Your Own Top 10 ListIntroductionWhy is your vulnerability list so important?Follow these 4 steps to achieve your custom, comprehensive Top N list Step 1: Gather vulnerability dataStep 2: Normalize the vulnerability dataStep 3: Create a vulnerability frequency tableStep 4: Consider additional risk factorsMoving forward Page 3 Page 3 Page 3 Page 3 Page 4 Page 4 Page 4 Page 5IntroductionA list of critical web application security vulnerabilities is a necessary risk management tool.1 Equally true is that each organization has a different set of vulnerabilities plaguing their applications. To complete a trifectaof fundamental truths, crowdsourced lists such as the OWASP Top 10 rarely reflect an individual organization’s priorities. Given all that, many organizations continue to download the OWASP Top 10 and try to use it to guide their software security efforts. Since this likely won’t achieve the desired result, why not use it as inspiration to create your own evidence-based, customized list?This document guides you through the process of cataloging your firm’s most common web application security vulnerabilities. But, before identifying those vulnerabilities, we must answer one very important question. Why is your vulnerability list so important?Identifying the vulnerabilities most prevalent in your organization’s applications provides real data. Data that encourages your development and security teams to actively improve their skills and processes. However, creating a satisfactory Top N list requires more than simply sorting one day’s or one application’s bug data. Building a list from the results of code review, various security testing methods, and actual incidents experienced by your firm and/or industry allow you to craft a holistic vulnerability list. You’ll then be better prepared to drive change that reduces risk in your organization.Customize your own comprehensive Top N list in 4 stepsStep 1: Gather vulnerability dataTo understand what you’re up against, you’ll first need to gather web application vulnerability data for a given period. Go back as far as you can with the technologies you have. Six months of data should be a minimum benchmark. Obtaining such data is easier to gather if your firm tracks security bugs in a central repository.If no repository currently exists, identify sources that contain vulnerability data. Collect reports associated with these sources. Next, extract the vulnerabilities into a spreadsheet or another data store.1 By “critical” we mean “most undesirable.” By “vulnerabilities” we mean “vulnerability types,” not individual security defects.Step 2: Normalize the vulnerability dataNormalizing vulnerability data ensures that each vulnerability instance is only counted once per application. You don’t want one bug-filled application to skew your results. A step-by-step approach to achieve this involves the following steps:1. Remove all re-test data from the data set. If the first test identifies a vulnerability that is not fixed bythe time a re-test takes place, list the vulnerability only once.2. Correlate penetration testing, incident response, and code review findings to remove multiplevulnerability instances. The instances may have been identified using different methodologies even though the same bug caused them. For instance, a cross-site scripting (XSS) vulnerability could be discovered during source code review, exploited during penetration testing, and abused by a realattacker. You should still list this vulnerability only once.3. Normalize finding names. For instance, the findings identified as “Stored XSS on admin page”and “Stored XSS on help page” could be renamed to read “Stored XSS.” The granularity of nameidentification determines the results of your Top N list. Use your judgement to determine what works best for your organization.Combining and harmonizing results from many kinds of defect discovery methods results in a richer assessment data set. Thus, more accurately reflecting what might be present in production environments.Step 3: Create a vulnerability frequency tableUsing the normalized vulnerability data, create a frequency table to list the number of times a given vulnerability was identified. For example, unsafe use of user-supplied data was identified 100 times throughout 150 applications over the past six months. This frequency table can help predict the likelihood that similar applications have the same vulnerability.Again, simply sorting a day’s bug data by number of occurrences doesn’t produce a satisfactory Top N list. Data changes often due to different testers, tools, processes, and applications. A historical view is important. Even when you have good frequency data, the point is to enable good risk management decisions. That requires additional knowledge.Step 4: Consider additional risk factorsOnce you have vulnerability frequency data, add analysis for three important risk factors:1. Detectability. The likelihood an attacker can discover the vulnerability.2. Exploitability. The likelihood an attacker can exploit that vulnerability.3. Impact. The combined technical and business impact if the vulnerability is successfully exploited.For each vulnerability in your list, add a score for each risk factor on a scale from 1-3 (with 3 being the higher end of the scale).Determining values for these factors are often based on the discovery method of the vulnerabilities. For instance, a vulnerability exploited in the wild (e.g., originating from the incident response report) might merit a higher exploitability than a vulnerability discovered during code review. Likewise, a vulnerability detected during a penetration test likely merits a higher detectability than a vulnerability detected during code review. Don’t hesitate to make adjustments based on professional opinion. Network location (e.g., Internet-facing versus internal), architecture (e.g., mobile versus thick-client), and other such criteria may be useful when assigning risk factor values.Based on the scores from this exercise, you can prepare your Top N list. This list is now customized to fit your organization and its software portfolio. This is one of the most valuable tools your firm can have for software security risk management.Moving forwardYour organization’s software security group (SSG) should periodically update the list and publish a Most Wanted Report. This calls attention to the most vulnerable areas of your firm’s software and applications. Incorporate this list into internal training material.When shown organization-specific vulnerability data, developers are more likely to understand how the material is relevant to their work. They are also better prepared to know when and how to apply what they’ve learned from training.Your Top N list may also open the door to executive attention regarding your firm’s vulnerabilities. These questions will help your teams obtain the resources they need to close gaps and mature the existing software security strategy.Be sure to adapt your approach at regular intervals to keep your Top N list up-to-date. Don’t simply base your security program on a static list. Sample your own data and turn the results into a powerful risk management tool.Synopsys helps development teams build secure, high-quality software, minimizing risks while maximizing speed and productivity. Synopsys, a recognized leader in application security, provides static analysis, software composition analysis, and dynamic analysis solutions that enable teams to quickly find and fix vulnerabilities and defects in proprietary code, open source components, and application behavior. With a combination of industry-leading tools, services, and expertise, only Synopsys helps organizations optimize security and quality in DevSecOps and throughout the software development life cycle.For more information, go to /software.Synopsys, Inc.185 Berry Street, Suite 6500San Francisco, CA 94107 USAContact us:U.S. Sales: 800.873.8193International Sales: +1 415.321.5237Email: *********************。

WEB安全性测试1. WEB安全漏洞 (1)2. 常见的10种安全漏洞（OWASPTOP10） (1)2.1 注入 (1)2.2 失效的身份认证和会话管理 (2)2.3 跨站脚本（XSS） (4)2.4 直接引用不安全的对象 (5)2.5 安全配置错误 (6)2.6 敏感信息泄漏 (7)2.7 缺少功能级访问控制 (8)2.8 跨站请求伪造（CSRF） (9)2.9 使用含有已知漏洞的组件 (11)2.10 未验证的重定向和转发 (11)3. Top10 风险因素总结 (13)4. 如何进行验证测试 (13)4.1 代码审查 (13)4.2 安全测试 (13)5. 实际测试工作............................................................................................ 错误！未定义书签。

5.1 QA测试............................................................................................ 错误！未定义书签。

5.2 Local测试......................................................................................... 错误！未定义书签。

1. WEB安全漏洞通常是指由于WEB程序本身体系结构、设计方法、开发编码的缺陷而造成的安全漏洞.2. 常见的10种安全漏洞（OWASPTOP10）OWASP(开放Web应用安全项目组-OpenWebApplicationSecurityProject)每隔数年会更新10个最关键的Web应用安全问题清单，即OWASPTOP10。

2.1 注入2.1.1描述注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。

【OWASPTOP10】2021年常见web安全漏洞TOP10排⾏【2021】常见web安全漏洞TOP10排⾏应⽤程序安全风险攻击者可以通过应⽤程序中许多的不同的路径⽅式去危害企业业务。

每种路径⽅法都代表了⼀种风险，这些风险都值得关注。

什么是 OWASP TOP 10OWASP（开放式Web应⽤程序安全项⽬）是⼀个开放的社区，由⾮营利组织 OWASP基⾦会⽀持的项⽬。

对所有致⼒于改进应⽤程序安全的⼈⼠开放，旨在提⾼对应⽤程序安全性的认识。

其最具权威的就是“10项最严重的Web 应⽤程序安全风险列表” ，总结并更新Web应⽤程序中最可能、最常见、最危险的⼗⼤漏洞，是开发、测试、服务、咨询⼈员应知应会的知识。

OWASP Top 10 2021 是全新的，具有新的图形设计和⼀页有⽤的信息图。

2021 年前 10 名发⽣了什么变化有三个新类别，四个类别的命名和范围发⽣了变化，并且 2021 年的前 10 名中进⾏了⼀些合并。

A01:2021-Broken Access Control 失效的访问控制从第五位上升；94% 的应⽤程序都经过了某种形式的破坏访问控制的测试。

映射到 Broken Access Control 的 34 个 CWE 在应⽤程序中出现的次数⽐任何其他类别都多。

A02:2021-Cryptographic Failures 加密失败上移⼀位⾄ #2，以前称为敏感数据泄露，这是⼴泛的症状⽽不是根本原因。

此处重新关注与密码学相关的漏洞，这些漏洞通常会导致敏感数据泄露或系统受损。

A03:2021-Injection 注⼊下滑到第三位。

94% 的应⽤程序都针对某种形式的注⼊进⾏了测试，映射到此类别的 33 个 CWE 在应⽤程序中的出现次数排名第⼆。

跨站点脚本攻击现在是此版本中此类别的⼀部分。

A04:2021-不安全的设计是2021 年的⼀个新类别，重点关注与设计缺陷相关的风险。

如果我们真的想作为⼀个⾏业“安全左移”，就需要更多地使⽤威胁建模、安全设计模式和原则以及参考架构。

OWASPTOP10漏洞详解以及防护⽅案OWASP TOP 10 漏洞详解以及防护⽅案OWASP介绍官⽹：OWASP TOP10 指出了 WEB 应⽤⾯临最⼤风险的 10 类问题，是⽬前 WEB 应⽤安全⽅⾯最权威的项⽬。

OWASP 是⼀个开源的、⾮盈利全球性安全组织，致⼒于应⽤软件的安全研究。

OWASP 的使命是应⽤软件更加安全，使企业和组织能够对应⽤安全风险作出更清晰的决策。

⽬前OWASP 全球拥有 140 个分会近四万名员，共同推动了安全标准、安全测试⼯具、安全指导⼿册等应⽤安全技术的发展。

OWASP TOP 10A1：2017 注⼊A2：2017 失效的⾝份认证A3：2017 敏感数据泄露A4：2017 XML外部实体A5：2017 失效的访问控制A6：2017 安全配置错误A7：2017 跨站请求脚本（XSS）A8：2013 跨站请求伪造（CSRF）A8：2017 不安全的反序列化A9：2017 使⽤含有已知漏洞的组件A10：2017 不⾜的⽇志记录和监控A1 2017注⼊injection注⼊：⽤户的输⼊被当成命令/代码执⾏或者解析了将不受信⽤的数据作为命令或查询的⼀部分发送到解析器时，会产⽣诸如SQL注⼊、NoSQL注⼊、OS注⼊（操作系统命令）和LDAP（）注⼊的注⼊缺陷。

攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执⾏⾮预期命令或访问数据。

⽤户的输⼊并⾮固定位置，可能存在于：输⼊框搜索栏提交表单URL链接所有的GET/POST请求的请求头和请求包头留⾔评论⼏乎任何数据源都有可能成为注⼊载体，只要是能被发出的数据位置可被执⾏的代码：SQLLDAPXpath or NoSQL系统命令XML语⾔SMTP包头表达式语句ORM查询语句危害：该代码能做什么即是危害注⼊的分类通常的注⼊有sql注⼊和命令注⼊SQL注⼊攻击动态页⾯有时会通过脚本引擎将⽤户输⼊的参数按照预先设定的规则构造成SQL语句来进⾏数据库操作。

OWASP 10要素项目：（OWASP，2006）：一、Unvalidated Input 非法输入——在数据被输入程序前忽略对数据合法性的检验，是一个常见的编程漏洞。

随着我们对Web应用程序脆弱性的调查，非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。

二、Broken Access Control 失效的访问控制——大部分企业都非常关注对已经建立的连接进行控制，但是，允许一个特定的字符串输入可以让攻击行为绕过企业的控制。

三、Broken Authentication and Session Management 失效的账户和线程管理——良好的访问控制并不代表万事大吉了。

企业还应该保护用户的密码，会话令牌，账户列表以及其它任何可以给攻击者提供有利信息帮助他们攻击企业网络的内容。

四、Cross Site Scripting (XSS) Flaws 跨站点脚本攻击——XSS是一种常见的攻击。

当攻击脚本被嵌入企业的Web页面或其它可以访问的Web资源中，当没有保护能力的台式机访问这个页面或资源时，脚本就会被启动。

这种问题可以影响成百上千的员工以及企业客户的终端电脑。

五、Buffer Overflows 缓存溢出——缓存溢出问题一般出现在较早的编程语言如C语言编写的程序中。

这种编程错误其实也是由于没有很好的确定输入内容在内存中的位置所草成的。

在本文的后续部分中，我们会讲到，通过一些高级的编程环境，如Java以及.Net，可以很好的控制此类问题。

六、Injection Flaws 注入式攻击——如果没有成功的阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问。

比如在Web表单中输入的内容，应该保持简单，并且不应该还有可被执行的代码内容。

七、Improper Error Handling 异常错误处理——当错误发生时，向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。

OWASP Top 10 2013 RC1最新十大安全隐患Web应用中十个最严重的安全风险重要声明： (2)关于OWASP (2)A1-注入 (3)我会对于注入脆弱么？ (4)我如何阻止注射 (4)攻击场景例子 (4)A2-错误的认证和会话管理 (5)我对劫持攻击脆弱么？ (5)我如何阻止这些东西? (5)攻击场景例子 (6)A3-跨站脚本 (6)我容易受XSS攻击么？ (6)我如何阻止XSS攻击 (7)攻击案例 (7)A4-不正确的直接对象引用 (8)我容易收到攻击么？ (8)如何阻止攻击？ (8)攻击案例 (9)A5-安全配置错误 (9)我容易受攻击？ (9)如何阻止这些？ (10)攻击场景事例 (10)A-6 敏感数据暴露 (11)我容易受到数据的暴露吗？ (11)我应该如何防止这些问题？ (11)攻击情形事例： (12)A-7 缺少功能层面的访问控制 (12)我易受强制访问吗？ (12)我应该如何防止暴力访问？ (13)攻击情形事例 (13)A-8 伪造跨站请求 (14)我容易受到CSRF吗？ (14)我如何防止CSRF？ (14)攻击情形事例 (15)A-9 应用已知脆弱性的组件 (15)我受到了已知漏洞的影响了吗？ (16)我该如何阻止？ (16)攻击情形事例 (16)A-10 未验证的重定向和传递 (17)我受到了重定向的影响了吗？ (17)我该如何阻止？ (17)攻击情形事例 (18)重要声明：OWASP计划在2013年3月30号结束的公共评论周期后，在2013年4月或5月发布最终的OWASP Top10最新公众版本。

OWASP Top10最新版本的的发行标志着这个用来提升应用安全风险的意识的工程已经走过了10年。

这个版本沿用了2010版的风格，将集中精力关注风险、细化威胁、攻击、弱点、安全控制、技术影响和商业影响与每一个风险结合起来。

通过这种方式，我们相信通过考虑这10个风险，能让组织在他们的商业应用中找出最严重的风险。

owasptop10学习笔记本⽂是owasptop10 的学习笔记。

⽂中将感悟点记录下来。

记录顺序是根据⽂档的阅读顺序。

⾸先感兴趣的点是⽂中提出来的风险评级，因为实际⼯作中也会遇到此类问题，并不知如何定级。

我觉得可以按照⽂中给定的⽅式来进⾏风险评级及描述例如：本业务系统为xxxxxxxxxxx（应⽤描述），通过（攻击向量：易、平均、难；漏洞普遍性：⼴泛、常见、少见；漏洞可检测性：易、平均、难；技术影响：严重、中等、⼩）综合评估本次风险等级为⾼、中、低危：可对业务造成xxxxxxxxx（业务描述）接下来就到了top10了，top1就是⼤名⿍⿍的注⼊。

但是没想到注⼊原来分这么多，⾃⼰平常只知道sqli。

先看⼀下⽂档对注⼊的定义：将不受信任的数据作为命令或查询的⼀部分发送给解析器时，会差⽣注⼊。

sql注⼊，nosql注⼊，os注⼊和LDAP注⼊的注⼊缺陷。

攻击者的恶意数据可以诱使解析器在没有授权的情况下执⾏⾮预期命令或访问数据。

谈谈搜到的不熟悉注⼊吧：os注⼊，搜了之后才发现也是⾮常熟悉的但平时将他归到了命令执⾏。

没想到这⾥划在了注⼊。

⽹络解释：OS指令执⾏是为了通过⽹络接⼝在web服务器执⾏OS命令的⼀种技术。

如果应⽤程序使⽤外部输⼊的字符串或受外部影响的字符串组装命令，并且没有经过正确的过滤，就可能导致OS命令的注⼊攻击。

类型⽹上分为了两类：1.应⽤程序执⾏⼀个⾃⼰控制的固定程序，通过⽤户输⼊的参数来执⾏命令。

这时，可以通过参数的分隔符，在参数中注⼊命令，来执⾏攻击者想要运⾏的命令。

2.应⽤程序将输⼊的整个字符串作为⼀个命令，应⽤程序只是做个中转，将命令传给操作系统执⾏，例如，通过exec来执⾏命令，这时可以通过命令分隔符注⼊命令。

第⼀个感觉就像linux 命令⾥的| 或者& 这类的连接符注⼊。

突然想到缓存区溢出算不算注⼊。

还是有区别的，定义中的注⼊是指对解析器⽽⾔达到⾮预期命令或访问数据。

将不可信数据作为命令或查询的一部分发送给解释器时，发生注入缺陷（例如SQL 、NoSQL OS 和 LDAP 注入）。

攻击者发送的恶意数据可以欺骗解释器，以执行非正常命令或者未获得适当授权而访问数据。

注入A1授权而访问数据。

与身份验证和会话管理相关的应用程序功能通常会不正确地执行，使得攻击者能够攻破密码、密钥或会话令牌，或者利用其他执行缺陷来临时或永久地识别其他用户的身份。

失效的验证A2钥或会话令牌，或者利用其他执行缺陷来临时或永久Array地识别其他用户的身份。

许多 Web 程序和 API 没有正确地保护敏感数据，例如金融、医疗和 PII 。

攻击者可能窃取或修改这些保护薄弱的数据，以进行信用卡欺诈、身份盗窃或其他犯罪。

敏感数据在没有额外保护（例如在静态或传输时进行加密）的情况下可能遭到窃取，并且在与浏览器交换信息时需要采取特殊保护措施。

敏感数据泄露A3取，并且在与浏览器交换信息时需要采取特殊保护措施Array。

验证的用户，通常不能正确地限制他们执对于通过身份验证的用户，通常不能正确地限制他们执行哪些操作。

攻击者可以利用这些缺陷来访问未经授权的功能和/或数据，如访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。

失效的访问控制A5安全错误配置是最常见的问题。

这通常是不安全的默认配置、不完整或特设配置、开放云存储、错误配置的HTTP 包含敏感信息的冗长错误消息引起的结果。

不仅必须安全地配置所有操作系统、框架、库和应用程序，而且必须及时对其进行修补/升级。

安全错误配置A6。

在新网页中包含不可信数据且没有正确的验证或转义，只要应用程序在新网页中包含不可信数据且没有正确的验证或转义，或使用可以创建 HTML 或JavaScript 览器 API 更新包含用户提供数据的现有网页，就会出现XSS 缺陷。

XSS允许攻击者在受害者浏览器中执行脚本，这样攻击者可以劫持用户会话、破坏网站或将用户重定向到恶意站点。