OWASP TOP10

1)、SQL注入

2)、失效的身份验证和会话管理  

例如一个链接:jsesessionid=xxxxxxx,如果该session未失效,或未设置超时失效,则别人可以直接通过改该session访问别人的session。

3)、跨站脚本XSS

4)、引用不安全的对象

例如: 用户1 ID的地址为http://www.xxx.com/news.php/?id=100,如果改为 http://www.xxx.com/news.php/?id=888,就可以可看到用户ID为888的用户信息。

5)、安全配置错误

6)、敏感信息泄露

7)、缺少功能级访问控制

8)、跨站请求伪造

伪造来自受信任用户的请求来利用受信任的网站

9)、使用含有已知漏洞的组件

10)、未验证的重定向和转发

伪造钓鱼URL登。。

 

posted on 2017-01-17 17:50  暮色森林  阅读(146)  评论(0编辑  收藏  举报

导航