Web应用程序的2010年安全风险：

　　OWASP的十大Web应用程序的2010年安全风险：

　　A1：注入（典型的就是SQL注入，这个方面后续分享一些典型案例，OS以及LDAP注入，这些攻击发生在当不可信的数据作为命令或者查询语句的一部分，被发送给解释器的时候。攻击者发生的恶意数据可以欺骗解释器，从而执行计划外的命令或者访问未经授权的数据）

　 　A2：跨站点脚本（XSS）（当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给一个网页浏览器，这就会产生XSS。 XSS允许攻击者在受害者的浏览器上执行脚本，从而绑架用户会话、危害网站、或者将用户转向恶意网站，表现出来的特征就像中毒一样。）

　　A3：失效的身份认证和会话管理（身份认证和会话控制如果得不到正确的实现，就会导致攻击者破坏密码、密钥、会话令牌或者攻击其他的漏洞去冒充其他用户的身份。通俗点讲就是容易“冒名顶替”）

　　A4：不安全的直接对象引用（当开发人员暴露一个对内部实现对象的引用时，例如一个文件、目录或者数据库密钥，就会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时，攻击者会操控这些引用去访问未经授权的数据。）

　 　A5：跨站点请求伪造（CSRF）（一个跨站请求伪造攻击迫使登陆用户的浏览器将伪造的HTTP请求，包括该用户的会话Cookie和其他认证信息，发 送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户流浪器向存在的应用程序发送请求，而这些请求会被应用程序认为是合法是请求。）

　　A6：安全配置错误（好的安全配置对应用程序、框架、应用程序服务器、web服务器、数据库服务器以及平台，定义和执行安全配置）

　 　A7：不安全的加密存储（许多web应用程序并没有使用恰当的加密措施或者Hash算法保护敏感数据，比如跟钱相关的信用卡，身份信息等，攻击者可能利 用这种弱保护数据实施身份盗窃，信用卡诈骗等。CSDN、人人网就是血淋淋的教训，用户资料竟然连基本的加密都没有，更何况是采用安全的加密存储。）

　　A8：不限制URL访问（许多web应用程序在显示受保护的连接和按钮之前会检测URL的访问权限。但是，当这些页面在被访问是，应用程序也需要执行类似的访问控制检测，否则攻击者将可以伪造这些URL去访问隐藏的页面）

　　A9：传输层保护不足（应用程序时常没有进行身份认证、加密措施，甚至没有保护敏感网络数据的保密性和完整性，而当进行保护时，应用程序有时采用弱算法，使用过期或无效的证书，或不正确的使用这些技术。）

　　A10：未经验证的重定向和转发（web应用程序经常性将用户重定向和转发到其他网页和站点，并利用不可信的数据区判断目的页面，如果没有得到适当的验证，攻击者可以重定向受害用户到钓鱼软件或者恶意网站，或者使用转发去访问未授权的页面）