转载链接:谢公子https://blog.csdn.net/qq_36119192/article/details/102372326
本文是对Web中最常见漏洞的一个小结,既然是Web漏洞,那自然而然不能忽略了OWASP Top10了。最新版的OWASP Top10还是2017年公布的。如下:
- 注入
- 失效的身份认证
- 敏感信息泄露
- XML 外部实体(XXE)
- 失效的访问控制
- 安全配置错误
- 跨站脚本(XSS)
- 不安全的反序列化
- 使用含有已知漏洞的组件
- 不足的日志记录和监控
以下是个人根据漏洞分类进行总结:
注入类漏洞:
注入类漏洞是应用违背了“数据与代码分离原则”导致的结果。它有两个条件:一是用户能够控制数据的输入,二是代码拼凑了用户输入的数据,把数据当成代码执行了。在对抗注入攻击时,只需要牢记“数据与代码分离原则”,在拼凑的地方进行安全检查。
文件类漏洞:
跨站类漏洞:
配置错误漏洞:
反序列化漏洞:
逻辑类漏洞:
Web服务器漏洞:
第三方库漏洞: