The OWASP Top 10 Web Application Security Risks for 2010 are：

　　A1：Injection
　　A2：Cross-Site Scripting （XSS）
　　A3：Broken Authentication and Session Management
　　A4：Insecure Direct Object References
　　A5：Cross-Site Request Forgery （CSRF）
　　A6：Security Misconfiguration
　　A7：Insecure Cryptographic Storage
　　A8：Failure to Restrict URL Access
　　A9：Insufficient Transport Layer Protection
　　A10：Unvalidated Redirects and Forwards

　　OWASP的十大Web应用程序的2010年安全风险：

　　A1：注入（典型的就是SQL注入，这个方面后续分享一些典型案例，OS以及LDAP注入，这些攻击发生在当不可信的数据作为命令或者查询语句的一部分，被发送给解释器的时候。攻击者发生的恶意数据可以欺骗解释器，从而执行计划外的命令或者访问未经授权的数据）

　　A2：跨站点脚本（XSS）（当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给一个网页浏览器，这就会产生XSS。XSS允许攻击者在受害者的浏览器上执行脚本，从而绑架用户会话、危害网站、或者将用户转向恶意网站，表现出来的特征就像中毒一样。）

　　A3：失效的身份认证和会话管理（身份认证和会话控制如果得不到正确的实现，就会导致攻击者破坏密码、密钥、会话令牌或者攻击其他的漏洞去冒充其他用户的身份。通俗点讲就是容易“冒名顶替”）

　　A4：不安全的直接对象引用（当开发人员暴露一个对内部实现对象的引用时，例如一个文件、目录或者数据库密钥，就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时，攻击者会操控这些引用去访问未经授权的数据。）

　　A5：跨站点请求伪造（CSRF）（一个跨站请求伪造攻击迫使登陆用户的浏览器将伪造的HTTP请求，包括该用户的会话Cookie和其他认证信息，发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户流浪器向存在的应用程序发送请求，而这些请求会被应用程序认为是合法是请求。）

　　A6：安全配置错误（好的安全配置对应用程序、框架、应用程序服务器、web服务器、数据库服务器以及平台，定义和执行安全配置）

　　A7：不安全的加密存储（许多web应用程序并没有使用恰当的加密措施或者Hash算法保护敏感数据，比如跟钱相关的信用卡，身份信息等，攻击者可能利用这种弱保护数据实施身份盗窃，信用卡诈骗等。CSDN、人人网就是血淋淋的教训，用户资料竟然连基本的加密都没有，更何况是采用安全的加密存储。）

　　A8：不限制URL访问（许多web应用程序在显示受保护的连接和按钮之前会检测URL的访问权限。但是，当这些页面在被访问是，应用程序也需要执行类似的访问控制检测，否则攻击者将可以伪造这些URL去访问隐藏的页面）

　　A9：传输层保护不足（应用程序时常没有进行身份认证、加密措施，甚至没有保护敏感网络数据的保密性和完整性，而当进行保护时，应用程序有时采用弱算法，使用过期或无效的证书，或不正确的使用这些技术。）

　　A10：未经验证的重定向和转发（web应用程序经常性将用户重定向和转发到其他网页和站点，并利用不可信的数据区判断目的页面，如果没有得到适当的验证，攻击者可以重定向受害用户到钓鱼软件或者恶意网站，或者使用转发去访问未授权的页面）

　　寻找这十类安全漏洞，比较经典的工具有JSky 能够扫描注入SQL注入。

　　全面支持如下Web漏洞的扫描：

　　● SQL注入（SQL Injection ）

　　● 跨站脚本（XSS ）

　　● 不安全的对象引用（Unsecure object using ）

　　● 本地路径泄露（Local path disclosure ）

　　● 不安全的目录权限（Unsecure directory permissions ）

　　● 服务器漏洞如缓冲区溢出和配置错误（Server vulnerabilities like buffer overflow and configure error）

　　● 敏感目录和文件扫描（Possible sensitive directories and files scan ）

　　● 备份文件扫描（Backup files scan ）

　　● 源代码泄露（Source code disclosure ）

　　● 命令执行（Command Execute ）

　　● 文件包含（File Include ）

　　● Web木马后门（Web backdoor ）

　　● 敏感信息（Sensitive information ）

　　● 等等......

版权声明：本文出自 linlinxu 的51Testing软件测试博客：http://www.51testing.com/?94273

原创作品，转载时请务必以超链接形式标明本文原始出处、作者信息和本声明，否则将追究法律责任。