owasp 漏洞都有哪些

OWASP（開放式web應用程序安全項目）關注web應用程序的安全。OWASP十大安全漏洞包括：

注入

將不受信任的數據作為命令或查詢的一部分發送到解析器時，會產生諸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻擊者的惡意數據可以誘使解析器在沒有適當授權的情況下執行非預期命令或訪問數據。

失效的身份認證

通常，通過錯誤使用應用程序的身份認證和會話管理功能，攻擊者能夠破譯密碼、密鑰或會話令牌，或者利用其它開發缺陷來暫時性或永久性冒充其他用戶的身份。

敏感數據泄露

許多Web應用程序和API都無法正確保護敏感數據，例如：財務數據、醫療數據和PII數據。攻擊者可以通過竊取或修改未加密的數據來實施信用卡詐騙、身份盜竊或其他犯罪行為。未加密的敏感數據容易受到破壞，因此，我們需要對敏感數據加密，這些數據包括：傳輸過程中的數據、存儲的數據以及瀏覽器的交互數據。

XML 外部實體（XXE）

許多較早的或配置錯誤的XML處理器評估了XML文件中的外部實體引用。攻擊者可以利用外部實體竊取使用URI文件處理器的內部文件和共享文件、監聽內部掃描端口、執行遠程代碼和實施拒絕服務攻擊。

失效的訪問控制

未對通過身份驗證的用戶實施恰當的訪問控制。攻擊者可以利用這些缺陷訪問未經授權的功能或數據，例如：訪問其他用戶的帳戶、查看敏感文件、修改其他用戶的數據、更改訪問權限等。

安全配置錯誤

安全配置錯誤是最常見的安全問題，這通常是由于不安全的默認配置、不完整的臨時配置、開源云存儲、錯誤的 HTTP 標頭配置以及包含敏感信息的詳細錯誤信息所造成的。因此，我們不僅需要對所有的操作系統、框架、庫和應用程序進行安全配置，而且必須及時修補和升級它們。

跨站腳本（XSS）

當應用程序的新網頁中包含不受信任的、未經恰當驗證或轉義的數據時，或者使用可以創建 HTML或JavaScript 的瀏覽器 API 更新現有的網頁時，就會出現 XSS 缺陷。XSS 讓攻擊者能夠在受害者的瀏覽器中執行腳本，并劫持用戶會話、破壞網站或將用戶重定向到惡意站點。

不安全的反序列化

不安全的反序列化會導致遠程代碼執行。即使反序列化缺陷不會導致遠程代碼執行，攻擊者也可以利用它們來執行攻擊，包括：重播攻擊、注入攻擊和特權升級攻擊。

使用含有已知漏洞的組件

組件（例如：庫、框架和其他軟件模塊）擁有和應用程序相同的權限。如果應用程序中含有已知漏洞的組件被攻擊者利用，可能會造成嚴重的數據丟失或服務器接管。同時，使用含有已知漏洞的組件的應用程序和API可能會破壞應用程序防御、造成各種攻擊并產生嚴重影響。

不足的日志記錄和監控

不足的日志記錄和監控，以及事件響應缺失或無效的集成，使攻擊者能夠進一步攻擊系統、保持持續性或轉向更多系統，以及篡改、提取或銷毀數據。大多數缺陷研究顯示，缺陷被檢測出的時間超過200天，且通常通過外部檢測方檢測，而不是通過內部流程或監控檢測。

回答所涉及的環境：聯想天逸510S、Windows 10。