[原创]OWASP TOP TEN 2007 10大Web应用程序安全问题
随着互联网网络的发展,Web产品的发展越来越快,Web产品本身具备自身的特点及弱点,不可避免的存在一定的风险,在风险控制环节安全问题尤为重要,以下是10大Web应用程序安全问题:
| 序号 | 内容 | 说明 |
| 1 | 跨站脚本漏洞 | Web应用程序直接将来自使用者的执行请求送回浏览器执行,使得攻击者可获取使用者的Cookie或Session信息而直接以使用者身份登陆 |
| 2 | 注入类问题 | Web应用程序执行在将用户输入变为命令或查询语句的一部分时没有做过滤,SQL 注入, 命令注入等攻击包括在内 |
| 3 | 任意文件执行 | Web应用程序引入来自外部的恶意文件并执行 |
| 4 | 不安全的对象直接引用 | 攻击者利用Web应用程序本身的文件操作功能读取系统上任意文件或重要资料 |
| 5 | 跨站请求截断攻击 | 已登入Web应用程序的合法使用者执行恶意的HTTP指令,但Web应用程式却当成合法需求处理,使得恶意指令被正常执行 |
| 6 | 信息泄露 | Web应用程序的执行错误信息中包含敏感资料,可能包括系统文件路径,内部IP地址等 |
| 7 | 用户验证和Session管理缺陷 | Web应用程序中自行撰写的身份验证相关功能有缺陷 |
| 8 | 不安全的加密存储 | Web应用程序没有对敏感性资料使用加密、使用较弱的加密演算法或将密钥储存于容易被获取之处 |
| 9 | 不安全的通信 | Web应用经常在需要传输敏感信息时没有使用加密协议 |
| 10 | 没有对URL路径进行限制 | 某些网页因为没有权限控制,使得攻击者可透过网址直接存取 |
附一张国外研究机构对10大Web应用程序安全问题统计图
