什么是OWASP TOP10?

OWASP(开放式Web应用程序安全项目)，即对Web应用程序可能初选的最危险的漏洞分成10个类型，下面我将从10个分类进行以此介绍。
这里值得注意的是，OWASP TOP10有两个版本，一个是2013年的，一个是2017年的，我这里介绍的2017版本的。

A1注入

即攻击者将恶意数据作为命令或者数据查询的一部分传给了解析器，从而造成恶意命令的执行或者数据泄露的危险。

1.SQL注入

常见数据库有SQL Server，Oracle，MySQL(开源)，PostgreSQL(开源)。

2.NoSQL注入

常见数据库有MongoDB，Redis，CouchDB

3.OS注入

4.LDAP(轻量目录访问协议)

应用场景为查询量大而修改量较少的数据管理系统。

A2失效的身份认证

通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌，或者暂时或永久的冒充其他用户的身份。

A3敏感数据泄露

不对敏感数据进行加密，造成用户信息泄露

A4 XXE

如:XXE攻击

A5失效的访问控制

这个跟A2的区别在于，A2中攻击者并未获得通过身份认证的用户身份，而在A5中攻击者已经具备了通过身份认证的用户身份，只不过系统把一些不该基于该用户的权限给了该用户。

A6安全配置错误

不多介绍

A7跨站脚本XSS

XSS:攻击者往web应用程序插入恶意脚本，获得用户的cookie，钓鱼网站，把用户重定向到恶意站点，还可以执行拒绝服务攻击。

A8反序列化漏洞

如:PHP反序列化漏洞和JAVA反序列化漏洞

A9使用含有已知漏洞的组件

比方说使用了一些含有漏洞的CMS

A10不足的日志记录和监控

不多介绍