OWASP 十大最严重的 Web 应用安全漏洞

能否被 K7 分析

A1

未经验证的输入

Web 请求中的信息在被 Web 应用使用的时候未经验证。攻击者可能使用这些缺陷通过 Web 应用攻击后端组件。

A2

有漏洞的访问控制

对经过认证的用户的行为没有进行正确的限制，攻击者会利用这些缺陷访问其他用户帐号，查看敏感文件，或者使用未经授权的功能。

A3

有漏洞的认证和会话管理

帐号的信任和会话令牌没有进行正确的保护。攻击者会采取手段获取密码、键盘输入、会话 Cookie ，或其他标识，从而骗过身份认证的限制，并伪装成其他的用户身份。

A4

跨站点脚本缺陷

Web 应用程序可能被利用向终端用户的浏览器传递攻击。一次成功的攻击能够获取终端用户的会话标识，攻击本地计算机，或者使用篡改过的内容欺骗用户。

A5

缓冲区溢出

用某些语言编写的 Web 应用组件没有正确验证输入，这会导致被攻击而崩溃，某种情况下，还可能被攻击者利用来取得对进程的控制权。这些组件可能包括 CGI 、库、驱动和 Web 应用服务器组件。

A6

注入缺陷

Web 应用程序访问外部系统或者本地操作系统的时候会传递参数。如果攻击者将恶意命令插入到这些参数中，外部系统就可能以 Web 应用的名义来执行这些命令。

A7

出错处理不当

正常操作时如果没有进行正确的控制就会产生错误条件。如果攻击者利用这一点引起了错误的发生，而 Web 应用程序又没有对这类错误进行处理，他们就会窃取详细的系统信息，引起拒绝服务，引起安全机制失效，甚至使服务器崩溃。

A8

不安全的存储

Web 应用不断使用加密功能保护信息和证书。这些功能以及集成这些功能的代码已经经过证实是很难保证正确，从而不断造成保护减弱。

*

A9

拒绝服务

攻击者会大量占用 Web 应用的资源，导致其他合法用户不能够访问和使用应用程序。攻击者也可能会锁定用户帐号甚至引起整个应用失效。

A10

不安全的配置管理

拥有一个强壮的服务器配置标准对一个安全的 Web 应用来讲是很重要的，这些服务器有很多的配置选项会影响到安全，并且缺省设置是不安全的

*