web十大漏洞(owasp top 10)
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web应用程序安全风险列表”,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,这十大漏洞是开发、测试、运维、服务、咨询人员应知应会的知识。一般3-4年更新一次。
OWASP Top 10 2013
A1 – Injection(注入攻击)
通过不受信任的数据插入命令或查询,导致数据泄露、损坏或系统控制权丢失。
A2 – Broken Authentication and Session Management(失效的验证与连接管理)
身份验证或会话管理机制存在缺陷,允许攻击者窃取凭据、冒充用户或劫持会话。
A3 – Cross-Site Scripting (XSS)(跨站脚本攻击)
在网页中插入恶意脚本,当用户访问时脚本被执行,导致信息窃取或会话劫持。
A4 – Insecure Direct Object References(不安全的直接对象引用)
未正确保护对内部对象(如文件、数据库记录)的访问,攻击者可直接操作对象标识符以访问未授权数据。
A5 – Security Misconfiguration(安全配置错误)
系统、应用或服务器配置不当,如默认账户未修改、错误的安全设置或未及时更新补丁。
A6 – Sensitive Data Exposure(敏感数据泄露)
未对敏感数据(如密码、银行卡信息)进行加密或保护,导致数据在传输或存储中被窃取。
A7 – Missing Function Level Access Control(缺少功能级别的访问控制)
未在服务器端对功能访问权限进行验证,攻击者可通过直接访问URL执行未授权功能。
A8 – Cross-Site Request Forgery (CSRF)(跨站请求伪造)
诱使用户在已登录状态下执行非预期的操作,如修改账户信息或发起交易。
A9 – Using Components with Known Vulnerabilities(使用含有已知漏洞的组件)
使用存在已知安全漏洞的第三方组件(如库、框架),攻击者可利用漏洞控制应用或服务器。
A10 – Unvalidated Redirects and Forwards(未验证的重定向与转发)
重定向或转发功能未验证目标地址,攻击者可诱导用户跳转至恶意网站。
OWASP Top 10 2017
A1 – Injection(注入攻击)
通过不受信任的数据插入命令或查询,导致数据泄露、损坏或系统控制权丢失。
A2 – Broken Authentication(失效的身份验证)
身份验证机制存在缺陷,如弱密码、凭证泄露或会话固定攻击,导致用户身份被冒用。
A3 – Sensitive Data Exposure(敏感数据泄露)
未对敏感数据进行充分保护(如加密、脱敏),攻击者可通过网络窃听或直接访问获取数据。
A4 – XML External Entity (XEE)(XML 外部实体漏洞)
未正确处理XML输入,攻击者可构造恶意外部实体引用以读取文件、扫描内网或发起DoS攻击。
A5 – Broken Access Control(失效的访问控制)
未正确限制用户对资源或功能的访问,攻击者可通过越权操作访问或修改未授权数据。
A6 – Security Misconfiguration(安全配置错误)
安全配置不当,如默认账户未修改、错误的安全头设置或未及时更新补丁。
A7 – Cross-Site Scripting (XSS)(跨站脚本攻击)
在网页中插入恶意脚本,当用户访问时脚本被执行,导致信息窃取或会话劫持。
A8 – Insecure Deserialization(不安全的反序列化漏洞)
未验证或保护反序列化数据,攻击者可构造恶意序列化对象以执行代码、篡改数据或发起DoS攻击。
A9 – Using Known Vulnerable Components(使用含有已知漏洞的组件)
使用存在已知安全漏洞的第三方组件,攻击者可利用漏洞控制应用或服务器。
A10 – Insufficient Logging & Monitoring(日志与监控不足)
未记录安全事件或未能及时响应告警,导致攻击行为未被发现或响应滞后。
OWASP Top 10 2021
A01 – Broken Access Control(失效的访问控制)
未正确实施访问控制策略,如越权访问、权限提升或未授权操作,导致数据泄露或系统被控制。
A02 – Cryptographic Failures(加密机制失效)
未正确使用加密算法、密钥管理不当或传输未加密,导致敏感数据被窃取或篡改。
A03 – Injection(注入攻击)
通过不受信任的数据插入命令或查询,导致数据泄露、损坏或系统控制权丢失。
A04 – Insecure Design(不安全的设计)
安全设计缺陷,如缺乏威胁建模、未考虑安全控制或设计逻辑错误,导致系统存在根本性安全风险。
A05 – Security Misconfiguration(安全配置错误)
系统、应用或服务器配置不当,如默认账户未修改、错误的安全设置或未及时更新补丁。
A06 – Vulnerable and Outdated Components(存在漏洞与过时组件)
使用存在已知漏洞或已过时的第三方组件,攻击者可利用漏洞控制应用或服务器。
A07 – Identification and Authentication Failures(身份识别与认证失败)
身份验证机制存在缺陷,如弱密码、会话固定、凭证泄露或多因素认证缺失,导致用户身份被冒用。
A08 – Software and Data Integrity Failures(软件与数据完整性失效)
未验证软件更新、依赖库或数据的完整性,攻击者可注入恶意代码或篡改数据。
A09 – Security Logging and Monitoring Failures(安全日志与监控机制失效)
未记录安全事件或未能及时响应告警,导致攻击行为未被发现或响应滞后。
A10 – Server-Side Request Forgery (SSRF)(服务器端请求伪造)
攻击者诱导服务器向内部或外部系统发起恶意请求,导致信息泄露、内网扫描或服务滥用。
OWASP Top 10 2025
A01 – Broken Access Control(失效的访问控制)
未正确实施访问控制策略,如越权访问、权限提升或未授权操作,导致数据泄露或系统被控制。
A02 – Security Misconfiguration(安全配置错误)
系统、应用或服务器配置不当,如默认账户未修改、错误的安全设置或未及时更新补丁。
A03 – Software Supply Chain Failures(软件供应链安全漏洞)
第三方软件供应链中存在漏洞或恶意代码,如依赖库、CI/CD流程或发布渠道被污染,导致整体系统风险。
A04 – Cryptographic Failures(加密机制失效)
未正确使用加密算法、密钥管理不当或传输未加密,导致敏感数据被窃取或篡改。
A05 – Injection(注入攻击)
通过不受信任的数据插入命令或查询,导致数据泄露、损坏或系统控制权丢失。
A06 – Insecure Design(不安全的设计)
安全设计缺陷,如缺乏威胁建模、未考虑安全控制或设计逻辑错误,导致系统存在根本性安全风险。
A07 – Authentication Failures(身份验证机制失效)
身份验证机制存在缺陷,如弱密码、会话固定、凭证泄露或多因素认证缺失,导致用户身份被冒用。
A08 – Software or Data Integrity Failures(软件或数据完整性失效)
未验证软件更新、依赖库或数据的完整性,攻击者可注入恶意代码或篡改数据。
A09 – Security Logging and Alerting Failures(安全日志与告警机制失效)
安全日志记录不完整或告警机制缺失,导致安全事件未能及时发现、响应或溯源。
A10 – Mishandling of Exceptional Conditions(异常条件处理不当)
系统在处理异常或错误条件时暴露敏感信息、进入不稳定状态或被攻击者利用以绕过安全控制。
