十大常见漏洞.pdfVIP

Web应用常见的安全漏洞有哪些

随着存在安全隐患的Web应用程序数量的骤增，OpenWebApplication

SecurityProject（开放式Web应用程序安全项目，缩写为OWASP）总结出了

现有Web应用程序在安全方面常见的十大漏洞，以提醒企业及其程序开发人员尽

量避免它们给企业IT系统带来的安全风险：

一、非法输入

UnvalidatedInput

在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着

OWASP对Web应用程序脆弱性的调查，非法输入的问题已成为大多数Web应用程

序安全漏洞方面的一个普遍现象。

二、失效的访问控制

BrokenAccessControl

大部分企业都非常关注对已经建立的连接进行控制，但是，允许一个特定的字符

串输入可以让攻击行为绕过企业的控制。

三、失效的账户和线程管理

BrokenAuthenticationandSessionManagement

有良好的访问控制并不意味着万事大吉，企业还应该保护用户的密码、会话令牌、

账户列表及其它任何可为攻击者提供有利信息、能帮助他们攻击企业网络的内容。

四、跨站点脚本攻击

XSS跨站漏洞以及钓鱼式攻击

XSS，中文名称为跨站脚本，是一种很常见的脚本漏洞。因为跨站脚本攻击不能

直