A1 – 注入
注入攻擊漏洞驶赏, 例如SQL嚼锄,OS以及LDAP注入蔫仙。這些攻擊發(fā)生在當(dāng)不可信的數(shù)據(jù)作為命
令或者查詢語句的一部分哀卫,被發(fā)送給解釋器的時(shí)候巨坊。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋
器,以執(zhí)行計(jì)劃外的命令或者在未被恰當(dāng)授權(quán)時(shí)訪問數(shù)據(jù)此改。
A2 – 失效的身份認(rèn)證和會(huì)話管理
與身份認(rèn)證和回話管理相關(guān)的應(yīng)用程序功能往往得不到正確的實(shí)現(xiàn)趾撵,這就導(dǎo)致了攻擊
者攻擊者破壞密碼、密鑰共啃、會(huì)話令牌或攻擊其他的漏洞去冒充其他用戶的身份(暫時(shí)或永
久的)占调。
A3 – 跨站腳本(XSS)
當(dāng)應(yīng)用程序收到含有不可信的數(shù)據(jù),在沒有進(jìn)行適當(dāng)?shù)尿?yàn)證和轉(zhuǎn)義的情況下移剪,就將它
發(fā)送給一個(gè)網(wǎng)頁瀏覽器究珊,或者使用可以創(chuàng)建javaScript腳本的瀏覽器API利用用戶提供的數(shù)據(jù)
更新現(xiàn)有網(wǎng)頁,這就會(huì)產(chǎn)生跨站腳本攻擊纵苛。XSS允許攻擊者在受害者的瀏覽器上執(zhí)行腳本剿涮,
從而劫持用戶會(huì)話、危害網(wǎng)站或者將用戶重定向到惡意網(wǎng)站攻人。
A4 – 失效的訪問控制
對(duì)于通過認(rèn)證的用戶所能夠執(zhí)行的操作取试,缺乏有效的限制。攻擊者就可以利用這些缺
陷來訪問未經(jīng)授權(quán)的功能和/或數(shù)據(jù)怀吻,例如訪問其他用戶的賬戶瞬浓,查看敏感文件,修改其他
用戶的數(shù)據(jù)蓬坡,更改訪問權(quán)限等猿棉。
A5 – 安全配置錯(cuò)誤
好的安全需要對(duì)應(yīng)用程序、框架屑咳、應(yīng)用程序服務(wù)器萨赁、web服務(wù)器、數(shù)據(jù)庫服務(wù)器和平
臺(tái)定義和執(zhí)行安全配置兆龙。由于許多設(shè)置的默認(rèn)值并不是安全的位迂,因此,必須定義详瑞、實(shí)施和
維護(hù)這些設(shè)置掂林。此外,所有的軟件應(yīng)該保持及時(shí)更新坝橡。
A6 – 敏感信息泄露
許多web應(yīng)用程序和API沒有正確保護(hù)敏感數(shù)據(jù)泻帮,如財(cái)務(wù)、醫(yī)療保健和PII计寇。攻擊者可能
會(huì)竊取或篡改此類弱保護(hù)的數(shù)據(jù)锣杂,進(jìn)行信用卡欺騙脂倦、身份竊取或其他犯罪行為。敏感數(shù)據(jù)
應(yīng)該具有額外的保護(hù)元莫,例如在存放或在傳輸過程中的加密赖阻,以及與瀏覽器交換時(shí)進(jìn)行特殊
的預(yù)防措施。
A7 – 攻擊檢測與防護(hù)不足
大多數(shù)應(yīng)用和API缺乏檢測踱蠢、預(yù)防和響應(yīng)手動(dòng)或自動(dòng)化攻擊的能力火欧。攻擊保護(hù)措施不限
于基本輸入驗(yàn)證,還應(yīng)具備自動(dòng)檢測茎截、記錄和響應(yīng)苇侵,甚至阻止攻擊的能力。應(yīng)用所有者還
應(yīng)能夠快速部署安全補(bǔ)丁以防御攻擊企锌。
A8 – 跨站請(qǐng)求偽造(CSRF)
一個(gè)跨站請(qǐng)求偽造攻擊迫使登錄用戶的瀏覽器將偽造的HTTP請(qǐng)求榆浓,包括受害者的會(huì)話
cookie和所有其他自動(dòng)填充的身份認(rèn)證信息,發(fā)送到一個(gè)存在漏洞的web應(yīng)用程序撕攒。這種攻
擊允許攻擊迫使受害者的瀏覽器生成讓存在漏洞的應(yīng)用程序認(rèn)為是受害者的合法請(qǐng)求的請(qǐng)
求陡鹃。
A9 – 使用含有已知漏洞的組件
組件,比如:庫文件抖坪、框架和其他軟件模塊杉适,具有與應(yīng)用程序相同的權(quán)限。如果一個(gè)
帶有漏洞的組件被利用柳击,這種攻擊可以促成嚴(yán)重的數(shù)據(jù)丟失或服務(wù)器接管。應(yīng)用程序和API
使用帶有已知漏洞的組件可能會(huì)破壞應(yīng)用程序的防御系統(tǒng)片习,并使一系列可能的攻擊和影響
成為可能捌肴。
A10 –未受有效保護(hù)的API
現(xiàn)代應(yīng)用程序通常涉及豐富的客戶端應(yīng)用程序和API,如:瀏覽器和移動(dòng)APP中的
JavaScript藕咏,其與某類API(SOAP/XML状知、REST/JSON、RPC孽查、GWT等)連接饥悴。這些API通常是不
受保護(hù)的,并且包含許多漏洞盲再。
