Web 开发最严重的十种威胁

OWASP(Open Web Application Security Project)统计了当前最为严重的十种Web安全威胁。详见下表：

                                  表一：OWASP TOP 10

漏洞	描述
A1 - 跨站脚本 Cross Site Scripting (XSS)	当应用程序提取用户提供的数据并发送到Web浏览器，数据内容没有先经过验证或编码时，可能出现的XSS漏洞。XSS允许攻击者在受害者的浏览器上执行脚本，脚本可能会劫持用户会话、破坏Web站点或引入蠕虫等。
A2 – 注入攻击  Injection Flaws	注入漏洞，特别是SQL注入，通过在Web应用程序内。当用户提供的数据作为命令或查询的一部分被发送到解释器时，可能出现注入漏洞。攻击者的恶意数据欺骗翻译器执行非用户本意的命令或改变数据。
A3 – 恶意文件执行 Malicious File Execution	远程文件包含(RFI)代码缺陷允许攻击者包含恶意代码和数据，导致破坏性的攻击，如全部服务器被攻陷。恶意文件执行攻击会影响PHP、XML以及任意从用户接收文件名或文件的架构。
A4 – 不安全的直接对象引用 Insecure Direct Object Reference	当开发人员把一个引用暴露给内部执行对象时，如一个文件、目录、数据库记录或键值、URL或格式参数，可能发生直接对象引用。攻击者可以操纵这些引用访问其它未经认证的对象。
A5 – 跨站请求伪造 Cross Site Request Forgery (CSRF)	CSRF攻击强制登录用户的浏览器发送经过预先认证的请求到一个有漏洞的Web应用程序，接着强制受害者的浏览器执行一个对攻击者有利的恶意行为。CSRF能和它所攻击的Web应用程序一样有效。
A6 – 信息泄漏及不正确的错误操作 Information Leakage and Improper Error Handling	应用程序可能通过各种应用程序问题非用户本意的泄漏配置、内部结构或隐私等信息。攻击者利用这个弱点偷窃敏感数据或传入更多严重的攻击。
A7 – 失效认证及会话管理 Broken Authentication and Session Management	信任账户及会话令牌通过没有被完全的保护。攻击者使用密码、密钥或认证令牌伪装其它用户的身份。
A8 – 不安全的密码存储 Insecure Cryptographic Storage	Web应用程序很少能适当的使用密码功能来保护数据和credential。攻击者通过缺乏有效保护的数据来窃取身份及其它犯罪行为，如信用卡欺诈。
A9 – 不安全的通信 Insecure Communications	敏感数据需要被保护，而应用程序经常没有对网络流量进行加密。
A10 – 限制URL访问失效 Failure to Restrict URL Access	通常应用程序只能通过对非认证用户链拉或URL的显示来保护敏感功能。攻击者能利用这个弱点，通过直接访问URL来访问并执行未授权的操作。