OWASP TOP 10

1、CSRF:CSRF(跨站请求伪造),是一种挟持用户在当前已登录的web应用程序上执行非本意的操作的攻击方式。CSRF攻击链接由攻击者构造,漏洞执行由用户点击触发。

2、SSRF:服务端请求伪造),是一种由攻击者构造,形成由服务端发起请求的漏洞。SSRF攻击链接由攻击者构造,由服务器发起请求。

3、XXE:XML外部实体注入

4、URL 重定向:指服务端未对传入跳转变量做检查,导致攻击者可构造恶意网址,诱导用户跳转到恶意网站。

指服务端未对传入跳转变量做检查,导致攻击者可构造恶意网址,诱导用户跳转到恶意网站。

5、系统命令执行:指由于服务端没有做控制或过滤,导致用户输入被作为操作系统命令执行的一部分而产生任意命令执行。

6、任意代码执行:指由于服务端未做好控制或过滤,导致用户输入被作为后端程序语言运行而产生的任意命令执行

7、不安全的反序列化:指恶意构造的序列化输入进行反序列化而产生非预期的对象调用所产生的漏洞。

8、文件上传下载包含

9、sql注入:恶意输入字符串被当作SQL指令执行而导致的漏洞。

10、敏感信息泄漏:用户敏感信息+异常报错敏感信息

11、认证鉴权:认证体系+鉴权体系(未授权访问/越权访问),是不是本人登录,登录者有没有权限。

12、XSS:跨站脚本攻击,是一种允许恶意用户将代码注入到网页上,获取其他用户敏感信息的漏洞。

相关推荐
久绊A2 小时前
网络信息系统的整个生命周期
网络
_PowerShell2 小时前
[ DOS 命令基础 3 ] DOS 命令详解-文件操作相关命令
网络·dos命令入门到精通·dos命令基础·dos命令之文件操作命令详解·文件复制命令详解·文件对比命令详解·文件删除命令详解·文件查找命令详解
_.Switch4 小时前
高级Python自动化运维:容器安全与网络策略的深度解析
运维·网络·python·安全·自动化·devops
2401_850410834 小时前
文件系统和日志管理
linux·运维·服务器
qq_254674414 小时前
工作流初始错误 泛微提交流程提示_泛微协同办公平台E-cology8.0版本后台维护手册(11)–系统参数设置
网络
JokerSZ.4 小时前
【基于LSM的ELF文件安全模块设计】参考
运维·网络·安全
SafePloy安策4 小时前
软件加密与授权管理:构建安全高效的软件使用体系
安全
芯盾时代5 小时前
数字身份发展趋势前瞻:身份韧性与安全
运维·安全·网络安全·密码学·信息与通信
一只哒布刘6 小时前
NFS服务器
运维·服务器