阅读: 1054|评论: 0

以下列表来自OWASP-Open Web Application Security Project(开放式Web应用程序安全项目) 10要素项目：(OWASP，2006)：

　　一、Unvalidated Input 非法输入——在数据被输入程序前忽略对数据合法性的检验，是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查，非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。

　　二、Broken Access Control 失效的访问控制——大部分企业都非常关注对已经建立的连接进行控制，但是，允许一个特定的字符串输入可以让攻击行为绕过企业的控制。

　　三、Broken Authentication and Session Management 失效的账户和线程管理——良好的访问控制并不代表万事大吉了。企业还应该保护用户的密码，会话令牌，账户列表以及其它任何可以给攻击者提供有利信息帮助他们攻击企业网络的内容。

　　四、Cross Site Scripting (XSS) Flaws 跨站点脚本攻击——XSS是一种常见的攻击。当攻击脚本被嵌入企业的Web页面或其它可以访问的Web资源中，当没有保护能力的台式机访问这个页面或资源时，脚本就会被启动。这种问题可以影响成百上千的员工以及企业客户的终端电脑。

　　五、Buffer Overflows 缓存溢出——缓存溢出问题一般出现在较早的编程语言如C语言编写的程序中。这种编程错误其实也是由于没有很好的确定输入内容在内存中的位置所草成的。在本文的后续部分中，我们会讲到，通过一些高级的编程环境，如Java以及.Net，可以很好的控制此类问题。

　　六、Injection Flaws 注入式攻击——如果没有成功的阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容，应该保持简单，并且不应该还有可被执行的代码内容。

　　七、Improper Error Handling 异常错误处理——当错误发生时，向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。

　　八、Insecure Storage 不安全的存储——对于Web应用程序来说，妥善的保存密码，用户名，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密是非常有效的方式，但是一些企业会采用那些未经实践验证的加密解决方案，其中就可能存在漏洞。

　　九、Application Denial of Service 程序拒绝服务——与拒绝服务攻击(DoS)类似，应用程序的DoS攻击利用大量非法用户抢占应用程序资源，导致合法用户无法使用该Web应用程序。

　　十、Insecure Configuration Management 不安全的配置管理——有效的配置管理过程可以为Web应用程序和企业的网络架构提供良好的保护。 针对以上列表，我有两点要说明一下。首先，这个列表并不能涵盖企业的Web应用程序中的全部脆弱点，它只是OWASP的成员组织最常遇到的问题，因此也是你应该着重检查的内容。

　　另外，这个列表并没有先后顺序。它只是根据每个OWASP成员根据自己企业的Web应用程序环境的脆弱性所排列的。