OWASP TOP 10
1、CSRF:CSRF(跨站请求伪造),是一种挟持用户在当前已登录的web应用程序上执行非本意的操作的攻击方式。CSRF攻击链接由攻击者构造,漏洞执行由用户点击触发。
2、SSRF:服务端请求伪造),是一种由攻击者构造,形成由服务端发起请求的漏洞。SSRF攻击链接由攻击者构造,由服务器发起请求。
3、XXE:XML外部实体注入
4、URL 重定向:指服务端未对传入跳转变量做检查,导致攻击者可构造恶意网址,诱导用户跳转到恶意网站。
指服务端未对传入跳转变量做检查,导致攻击者可构造恶意网址,诱导用户跳转到恶意网站。
5、系统命令执行:指由于服务端没有做控制或过滤,导致用户输入被作为操作系统命令执行的一部分而产生任意命令执行。
6、任意代码执行:指由于服务端未做好控制或过滤,导致用户输入被作为后端程序语言运行而产生的任意命令执行
7、不安全的反序列化:指恶意构造的序列化输入进行反序列化而产生非预期的对象调用所产生的漏洞。
8、文件上传下载包含
9、sql注入:恶意输入字符串被当作SQL指令执行而导致的漏洞。
10、敏感信息泄漏:用户敏感信息+异常报错敏感信息
11、认证鉴权:认证体系+鉴权体系(未授权访问/越权访问),是不是本人登录,登录者有没有权限。
12、XSS:跨站脚本攻击,是一种允许恶意用户将代码注入到网页上,获取其他用户敏感信息的漏洞。