OWASP TOP 10

1、CSRF:CSRF(跨站请求伪造),是一种挟持用户在当前已登录的web应用程序上执行非本意的操作的攻击方式。CSRF攻击链接由攻击者构造,漏洞执行由用户点击触发。

2、SSRF:服务端请求伪造),是一种由攻击者构造,形成由服务端发起请求的漏洞。SSRF攻击链接由攻击者构造,由服务器发起请求。

3、XXE:XML外部实体注入

4、URL 重定向:指服务端未对传入跳转变量做检查,导致攻击者可构造恶意网址,诱导用户跳转到恶意网站。

指服务端未对传入跳转变量做检查,导致攻击者可构造恶意网址,诱导用户跳转到恶意网站。

5、系统命令执行:指由于服务端没有做控制或过滤,导致用户输入被作为操作系统命令执行的一部分而产生任意命令执行。

6、任意代码执行:指由于服务端未做好控制或过滤,导致用户输入被作为后端程序语言运行而产生的任意命令执行

7、不安全的反序列化:指恶意构造的序列化输入进行反序列化而产生非预期的对象调用所产生的漏洞。

8、文件上传下载包含

9、sql注入:恶意输入字符串被当作SQL指令执行而导致的漏洞。

10、敏感信息泄漏:用户敏感信息+异常报错敏感信息

11、认证鉴权:认证体系+鉴权体系(未授权访问/越权访问),是不是本人登录,登录者有没有权限。

12、XSS:跨站脚本攻击,是一种允许恶意用户将代码注入到网页上,获取其他用户敏感信息的漏洞。

相关推荐
Chahot14 分钟前
量子安全与经典密码学:一些现实方面的讨论
安全·密码学·量子计算
BetterJason35 分钟前
ubuntu22开机自动登陆和开机自动运行google浏览器自动打开网页
linux·运维·服务器
神仙别闹1 小时前
基于C语言实现的(控制台)校园导航系统
java·服务器·c语言
漫天飞舞的雪花1 小时前
gRPC 双向流(Bidirectional Streaming RPC)的使用方法
网络·网络协议·rpc·go1.19
小羽网安1 小时前
windows安全中心,永久卸载工具分享
安全·工具
勤奋的小王同学~1 小时前
(计算机组成原理)期末复习
网络·组成原理
黑客-秋凌2 小时前
通用网络安全设备之【防火墙】
sql·安全·web安全
幼稚的男孩°3 小时前
ubuntu 域名解析错误 ping ip 网络不可达
网络
EasyDSS3 小时前
互联网视频推拉流EasyDSS视频直播点播平台视频转码有哪些技术特点和应用?
运维·服务器·音视频·rtmp推流·视频转码