最近在找实习,看到招聘全是要求熟悉OWASP Top 10,为了加深印象因此写一个博客记录一下 ,也但愿能够为有相同需求的小伙伴提供好的资料,以后我会陆续更新相关的漏洞复现的博客,但愿你们能够给我提出更好的建议。html
版本:OWASP Top 10 2017web
OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对全部致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最多见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。数据库
将不安全的命令做为命令发送给解析器,会产生相似于
SQL注入、NoSQL注入、OS注入和LDAP注入
(轻量目录访问协议) 的缺陷,攻击者能够构造恶意数据
经过注入缺陷的解析器执行没有权限的非预期命令
或访问数据
。浏览器
经过错误使用应用程序的
身份认证
和会话管理功能
,攻击者可以破译密码
、密钥
或会话令牌
,或者暂时
或永久
的冒充其余用户的身份。安全
这个比较好理解,通常咱们的敏感信息包括
密码
、财务数据
、医疗数据
等,因为web应用或者API未加密
或不正确的保护敏感数据
,这些数据极易遭到攻击者利用,攻击者可能使用这些数据来进行一些犯罪行为,所以,未加密的信息极易遭到破坏和利用,咱们应该增强对敏感数据的保护,web应用应该在传输过程当中数据、存储的数据以及和浏览器的交互时的数据进行加密,保证数据安全。服务器
XXE 全称为XML External Entity attack 即XML(可扩展标记语言) 外部实体注入攻击,早期或配置错误的XML处理器评估了XML文件外部实体引用,攻击者能够利用这个漏洞窃取URI(统一资源标识符)文件处理器的
内部文件
和共享文件
、监听内部扫描端口
、执行远程代码
和实施拒绝服务攻击。架构
经过
身份验证
的用户,能够访问其余用户的相关信息,没有实施恰当的访问权限。攻击者能够利用这个漏洞去查看未受权的功能和数据,eg:访问用户的帐户
、敏感文件
、获取和正经常使用户相同的权限
等.框架
安全配置错误是比较常见的漏洞,因为操做者的
不当配置
(默认配置,临时配置,开源云存储,http标头配置,以及包含敏感信息的详细错误),致使攻击者能够利用这些配置获取到更高的权限,安全配置错误能够发生在各个层面,包含平台、web服务器、应用服务器、数据库、架构和代码。xss
xss攻击全称为跨站脚本攻击,当应用程序的新网页中包含
不受信任的
、未经恰当验证
、转义的数据
或可使用HTML、JavaScript的浏览器API更新的现有网页
时,就会出现xss漏洞,跨站脚本攻击是最广泛
的web应用安全漏洞,甚至在某些安全平台都存在xss漏洞。xss会执行攻击者在浏览器中执行的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用xss还能够执行拒绝服务攻击。svg
组件(eg:库、框架或其余软件模块)拥有应用程序相同的权限,若是应用程序中含有已知漏洞,攻击者能够利用漏洞获取数据或接管服务器。同时,使用这些组件会破坏应用程序防护,形成各类攻击产生严重的后果。
这个和等保有必定的关系,不做介绍,
不足的日志记录
和监控
,以及事件响应缺失
或无效的集成
,使攻击者可以进一步攻击系统、保持持续性的或攻击更多的系统,以及对数据的不当操做。
大概了解了top 10的相关漏洞,对于漏洞有了一个大概的认识,接下来就是去多实际操做,去熟悉漏洞的相关特性,有助于您更好的了解这些漏洞。