XSS
 反射性 （经过服务器）
 存储性 （经过服务器）
 DOM型（没有经过服务器）
 主要原因是程序对输入和输出没有做合适的处理，导致恶意代码输出在前端时被浏览器当作有效代码解析执行从而产生危害。
 
CSRF（跨站请求伪造）
 攻击者会伪造一个请求（一般是连接） 然后欺骗受害者点击，受害者点击的那一刻就代表整个攻击完成。
 
sql注入
 SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。 形成原因是因为数据交互的时候过滤不严格
 
RCE
 远程命令执行：应用系统需要给用户提供指定的远程命令接口 如果设计者没有做严格的安全控制 可能就会攻击者通过该接口提交恶意指令 从而让后台执行 进而控制整个后台服务器
 远程代码执行：后台过滤不严 把用户输入作为代码的一部分进行执行
 
文件包含
 PHP中包含函数 ：
 include(),include_once()
 require(),require_once();
 包含函数中包含的代码文件一般是固定的 就不会出现安全问题
 但是写成了变量 由前端用户传的 如果没有严密的安全考虑 就可能会引起一些文件包含漏洞 一般分为两种情况 本地文件包含 远程文件包含
 
本地文件包含：只能对本地文件进行包含 但服务器的文件不能被攻击者控制 所以攻击者一般包含一些固定的系统文件 从而读取系统敏感信息 本地包含结合一些特殊的文件上传漏洞 从而形成更大的威力
 
远程文件包含：能够通过url地址对远程文件包含 意味着攻击者可以传入任意代码 。 直接凉凉 。 （可以通过设置严格的白名单进行过滤）
 
不安全文件下载
 一般点击下载链接的时候 会对后台发送一个下载请求 后台收到请求会开始执行下载代码 如果下载文件的时候没有进行过滤严谨 就可能会引起不安全的文件下载
 如果攻击者提交的不是程序预期的文件名 而是精心构造的路径 …/…/…/…/…/etc/passwd 就很有可能会把该指定文件下载下来（密码文件 源代码等等）
 
不安全文件上传
 后台对上传文件没有进行任何安全判断或者条件不够严谨 攻击者可能会通过上传一些恶意文件 比如一句话木马 从而导致后台服务器被shell
 
越权
 形成原因是后台使用了不合理权限效验规则导致的
 普通用户可以操作管理员功能 为垂直越权
 普通用户可以查看其他用户 为水平越权
 
目录遍历
 web功能设计的是需要把访问的文件定义成变量 这样可以让前端的功能更加灵活 当用户发送一个前端请求时 如果过滤不严谨 攻击者可能会通过…/…/这样打开或执行一些其他文件 从而导致服务器上的其他目录文件被遍历出来 形成目录遍历漏洞
 
敏感信息泄漏
 设计者设计不当 不应该被用户看到的数据被轻易访问到。
 —通过访问url下的目录，可以直接列出目录下的文件列表;
 —输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息;
 —前端的源码（html,css,js）里面包含了敏感信息，比如后台登录地址、内网接口信息、甚至账号密码等;
 
PHP反序列化
 序列化和反序列化本身没有问题 但反序列化内容可以被用户控制
 且后台不正当使用了php魔法函数 就会导致安全问题
 常见的几个魔法函数:
 
 __construct()当一个对象创建时被调用

__destruct()当一个对象销毁时被调用

__toString()当一个对象被当作一个字符串使用

__sleep() 在对象在被序列化之前运行

__wakeup将在序列化之后立即被调用
 
XXE （xml外部实体注入漏洞）
 攻击者通过向服务器注入指定的xml实体内容 从而让服务器按照指定配置进行执行 导致问题
 也就是 服务端接收和解析了来自用户端的xml数据 而又没有严格的安全控制 从而导致xml外部实体注入
 
URL重定向
 不安全的url跳转问题可能发生在一切执行了url地址跳转的地方。
 如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话
 就可能发生"跳错对象"的问题。
 
url跳转比较直接的危害是:
 –>钓鱼,既攻击者使用漏洞方的域名(比如一个比较出名的公司域名往往会让用户放心的点击)做掩盖,而最终跳转的确实钓鱼网站
 
SSRF（服务器端请求伪造）
 形成原因 服务器提供了从其他服务器应用获取数据的功能 但又没有对目标地址做严格的过滤和限制
 导致攻击者可以传入任意的地址来让后台服务器对其发起请求 并返回对该目标地址请求的数据
 
数据流:攻击者----->服务器---->目标地址

A1 注入 Injection
 
攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器，这些恶意数据可以欺骗解释器，从而执行计划外的命令或者未授权访问数据。注入漏洞通常能SQL查询、LDAP查询、OS命令、程序参数等中出现。
 
防范：
 
1.使用安全的API，避免使用解释器或提供参数化的接口（prepared statements，or stored procedures）
 
2.使用白名单来规范化的输入验证方法
 
3.对输入的特殊字符进行Escape转义处理
 
4.权限最小化，减轻被注入的影响
 
A2 失效的身份认证和会话管理
 
与认证和会话管理相关的应用程序功能往往得不到正确管理，这就导致攻击者破坏密码、密匙、会话令牌或利用实施漏洞冒充其他用户身份
 
A3 跨站脚本-XSS
 
A4 不安全的直接对象引用 Insecurity Direct Object Reference
 
当开发人员公开对内部实现对象(如文件、目录或数据库键)的引用时，就会出现直接对象引用。如果没有访问控制检查或其他保护，攻击者可以操纵这些引用来访问未经授权的数据。
 
防范：
 
1.使用基于用户或会话的间接对象访问, 防止攻击者直接攻击未授权资源.
 
2.访问检查:对任何来自不受信源所使用的所有直接对象引用都进行访问控制检测，确保用户对要求的对象有访问权限
 
A5 安全配置错误 Security Misconfiguration
 
良好的安全性需要为应用程序、框架、应用服务器、web服务器、数据库服务器和平台定义和部署安全配置。默认值通常是不安全的。另外，软件应该保持更新。攻击者通过访问默认账户、未使用的网页、未安装补丁的漏洞、未被保护的文件和目录等，以获得对系统未授权的访问
 
A6 敏感信息泄露 Sensitive Data Exposure
 
保护与加密敏感数据已经成为网络应用的最重要的组成部分。最常见的漏洞是应该进行加密的数据没有进行加密。使用加密的情况下常见问题是不安全的密钥和使用弱算法加密
 
防范：
 
1.加密存储和传输所有的敏感数据
 
2.确保使用合适强大的标准算法和密钥，并且密钥管理到位
 
3.确保使用密码专用算法存储密码
 
4.及时清除没有必要存放的重要的/敏感数据
 
5.禁用自动收集敏感数据,禁用包含敏感数据的页面缓存
 
加密方法：采用非对称加密算法管理对称加密算法密钥，用对称加盟算法加密数据
 
A7 缺少功能级访问控制
 
大多数web应用程序在实现UI中可见的功能之前，都要验证功能级别的访问权限。但是，当访问每个函数时，应用程序需要在服务器上执行相同的访问控制检查。如果请求没有得到验证，攻击者将能够伪造请求，以便在没有适当授权的情况下访问功能。
 
防范：
 
1.检查管理权限的过程并确保能够容易进行升级和审计，切忌硬编码。
 
2.默认缺省情况下，应该拒绝所有访问的执行权限。
 
3.对于每个功能的访问，需要明确的角色授权。检查每个功能分配的权限合理有效。
 
A8 跨站请求伪造 CSRF
 
利用了网站允许攻击者预测特定操作的所有细节这一特点。由于浏览器自动发送会话cookie等认证凭证，导致攻击者能够创建恶意的web页面来伪造请求。这些伪造的请求很难和合法的请求区分开。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。
 
1.给每个HTTP请求添加一个不可预测的令牌，并保证该令牌对每个用户会话来说是唯一性。最好是将独有的令牌包含在隐藏字段中，通过HTTP请求发送，避免在URL中暴露出来。
 
2.要求用户重新认证或者判断他们是一个真实的用户。
 
A9 使用含有已知漏洞的组件
 
开发人员使用的组件也会含有漏洞，这些漏洞能够被自动化工具发现和利用。然后攻击者根据需要定制攻击代码并实施攻击。
 
防范：
 
1.标识正在使用的所有组件和版本，包括所有依赖项
 
2.及时关注这些组件的安全信息并保证他们是最新的。
 
3.建立使用组件的安全策略，禁止使用未经安全评估的组件。
 
4.在适当情况下，对组件进行安全封装，精简不必要的功能，封装易受攻击部分
 
A10 未验证的重定向和转发
 
应用程序经常将用户重定向到其他网页，或以类似的方式进行内部转发。当目标网页是通过一个未验证的参数来指定时，就容易被攻击者利用。攻击者通过诱使受害人去点击未经验证的重定向链接，从而利用不安全的转发绕过安全检测。攻击者通过重定向可以试图安装恶意软件或者诱使受害人泄露密码等敏感信息，通过转发可以绕过访问控制。
 
防范：
 
1.避免使用重定向和转发
 
2.如果使用了重定向和转发，则不要在确定目标时涉及到用户参数。
 
3.如果无法避免使用目标参数，则应确保目标参数值对于当前用户是有效的并已授权。

 
OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防
 
 
https://blog.csdn.net/lifetragedy/article/details/52573897
 
转载于:https://www.cnblogs.com/andy9468/p/10710639.html

Owasp Web Top10
 
SQL注入
 
漏洞定义

    SQL注入是一种将SQL代码注入或者添加到应用（用户）的输入参数中的攻击，之后再将这些参数传递给后台的SQL服务器加以解析并执行。由于SQL语句本身多样性，以及用于构造的SQL语句编码方法很多，因此凡是构造SQL语句没有过滤的均存在被潜在攻击的风险

攻击原理

    其本质是对于输入的检查不充分，导致SQL语句将用户提交的非法数据当做语句的一部分来执行，简言而之就是用户提交的数据代入数据库的查询。

利用场景

        数据泄露，数据丢失，数据篡改；
        绕过认证、验证、绕过登录等功能；
        服务器进一步被入侵;
        数据、功能的损坏；

修复方案

        严格限定参数类型；

        只要是由固定格式类型的变量，在SQL语句执行前，应该严格按照固定格式检查（数据太大的情况下不适合）
        明确参数检验的边界，必须在服务端执行数据验证；
        采用参数化查询的方法（推荐）

        参数化查询强制开发者先定义所有的SQL语句，然后向每个查询传递参数。使用参数化查询可以使数据库区分代码和数据的区别，用户输入会被当做数据处理，而不是当成代码被执行。
        内置过滤系统（本质是黑名单，很常见但不推荐）经常采用addslashes函数，他会在指定的预定义字符前添加反斜杠转义，预定义字符；单引号（‘）双引号（“）反斜杠0 NULL；
        链接数据库的应用账号权限最小化原则。
 
XSS
 
漏洞定义

    跨站脚本发生于在动态生成的web页面直接显示不可信（未严格验证）的外部输入，恶意用户可以利用该缺陷往动态页面中注入恶意script代码再浏览器页面执行。分类为存储型XSS（中危），反射型XSS（低危），DOM型XSS（低危）

攻击原理

        存储型XSS：

        主要出现在让用户输入数据，供其他浏览此页的用户进行查看的地方，包括留言、评论、博客日志和各类表单等。应用程序从数据库中查询数据，在页面中显示出来，攻击者在相关页面输入恶意的脚本数据后，用户浏览此类页面就可以受到攻击。常见于一些GET、POST请求中，和一些保存型操作中。输入一进入数据库–取出数据库—输出，输入在A处进入数据库，而输出可能出现在其他任何用到数据的地方。

        反射型XSS：

        主要是将脚本加入URL地址的程序参数里，参数进入程序后在页面直接输出脚本内容，用户点击此类的恶意链接很可能受到攻击。绝大部分是输入在哪里输出就在哪里。输入大部分位于地址栏或者来自DOM的某些属性，也会偶尔有数据在请求中（POST类型）。

        DOM型XSS

        它和反射型以及存储型XSS的区别在于，DOM XSS的代码并不需要服务器解析响应的直接参与，触发XSS靠的是浏览器的DOM解析，可以认为完全是客户端的事情。

利用场景

        获取cookie（对http-only没用）
        钓鱼攻击
        网站挂马
        控制用户的动作（发帖，私信）

修复方案

        输入过滤特殊字符
        输出编码处理
        设置http-only 属性
        全局XSS过滤器（推荐）
 
CSRF攻击
 
漏洞定义

    跨站点请求伪造，在受害者毫不知情的情况下以受害者的名义伪造请求发送给受攻击的站点，从而在并未授权的情况下执行在权限保护之下的操作。

攻击原理

        用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；
        在用户信息通过验证后，网站A产生cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A
        用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；
        网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A；
        浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行。

利用场景

        以受害者的名义发送邮件，发消息等；
        添加管理员账号提权；
        购买商品，虚拟货币转账等；
        恶意删除系统数据；

修复方案

        验证HTTP Referer字段
        HTTP头中有一个字段叫Referer，它记录了该请求的来源地址。通常情况下，访问一个安全受限页面的请求来自于同一个网站。开发人员给所有安全敏感的请求统一增加拦截器来检查Referer的值，验证规则请求referer必须以http://host;port开头，
        在请求头中添加token并验证；
        在HTTP请求头中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token。
        在HTTP头中自定义属性并验证；
        和第2中方式一样使用token验证，区别在于并不是以请求参数的形式添加到HTTP请求中，而是放置在http头中自定义的属性里。对于xmlhttprequest的请求，可以通过xmlhttprequest这个类，可以一次性给所有该类请求加上csrftoken这个http请求头属性，并把token值放入其中。
 
权限绕过/未授权访问
 
漏洞定义

    越权，是超出了权限或权利范围访问系统。多数web应用都具备权限划分和控制，但是如果权限控制功能设计存在缺陷，那么攻击者就可以通过这些缺陷来访问未经授权的功能或数据，这就是我们通常说的越权漏洞。一般将越权分为以下几类：

        未授权访问：
        管理地址可以直接访问

        接口任意调用//RESTful API

        静态资源文件直接访问（比如直接下载压缩文件，后台生成的统计文件等）
        水平越权
        同级别的用户越权访问操作
        垂直越权
        普通用户越权执行特权用户的操作

利用场景

    越权漏洞的危害与影响主要是与对应的业务的重要性有关，比如说某一页面服务器端响应（不局限于页面返回的信息，有时信息在响应包中，页面不一定能看见）中返回登录名、密码、手机号、身份证等敏感信息，如果存在平行越权，通过对用户ID遍历，就可以查看所有用户的敏感信息，这也是一种变相的脱裤，而且很难被防火墙发现，因为这和正常的访问请求没有什么区别，也不会包含特殊的字符，具有十足的隐蔽性。

修复方案

        基础安全架构，完善用户权限体系。要知道哪些数据对于哪些用户，哪些数据不应该由哪些用户操作。
        鉴权，服务端对请求的数据和当前用户身份做校验；
        不要直接使用对象的实名或关键字；
        对于可控参数进行严格的校验与过滤。
 
任意文件上传
 
漏洞定义

    文件上传的功能处，若服务端脚本语言未对上传的文件进行严格的验证和过滤，导致恶意用户上传恶意的脚本文件时，就有可能获取执行服务器命令的能力，这就是文件上传漏洞。文件上传漏洞对web应用来说是一种非常严重的漏洞，一般情况下，web应用都会允许用户上传一些文件，如头像、附件等信息，如果web应用没有对用户上传的文件进行有效的检验过滤，那么恶意用户就会上传一句话木马等webshell，从而达到控制web网站的目的。

攻击原理

    导致文件上传漏洞的原因比较多，主要包括以下几类：

        本地文件上传限制被绕过；
        过滤不严格或被绕过；
        文件路径截断；
        开源编辑器上传漏洞；
        中间件解析漏洞；
        服务器配置不当-HTTP启用不安全的方法（PUT方法）
        上传的文件目录，脚本文件可执行；
        对于web server，上传文件或指定目录的行为没有做限制；

利用场景

    高危触发点

        相册、头像上传；
        视频，照片分享；
        附件上传（论坛发帖、邮箱）
        文件管理器

修复方案

        文件扩展名服务器端白名单校验
        判断文件类型（可结合MIME Type,后缀检查等方式）
        文件内容服务器端检验
        上传文件重命名
        隐藏上传文件路径
        文件上传目录设置为不可执行
 
任意文件下载/查看
 
漏洞定义

    一些网站有提供文件查看或者下载功能，如果这些操作没对用户进行限制，用户就能查看或者下载任意的文件，可以是源代码文件，敏感文件等等。

攻击原理

        都有读文件的函数
        读文件的路径用户可控，且没有经过校验，或者校验的不够严格；
        输出文件的内容；

修复方案

        过滤.（点）、/（斜杠）
        正则判断用户输入的参数的格式，看输入的格式是否合法限定文件发个文范围，如php.ini中配置open_basedir
 
XXE
 
漏洞定义

    XXE就是XML外部实体注入。当允许引用外部实体时，通过构造恶意的内容，就可以导致任意文件读取，系统命令执行，内网端口探测，攻击内网网站等危害。

攻击原理

    通常攻击者会将payload注入到XML文件中，一旦文件被执行，将会被读取服务器上的本地文件，并对内网发起访问扫描内部网络端口。换而言之，XXE是一种从本地到达各种服务器的方法。此外，在一定程度上这也可能帮助攻击者绕过防火墙规则或者身份认证检查。

利用场景

    远程代码执行，读取服务器文件

修复方案

        配置XML处理器去使用本地静态的DTD，不允许XML中含有任何自己生命的DTD。具体配置方法参考Fortify代码扫描修复指引中XML注入的修复方案
 
会话固定攻击
 
漏洞定义

    会话固定（Session fixation)是一种诱骗受害者使用攻击者指定的会话标识（Session fixation)的攻击手段。这是攻击者读取会话标识最简单的方法。会话固定也可以看成是会话劫持的一种类型，原因是会话攻击的主要目的是获得目标用户的合法会话，不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话，以此来获得用户的敏感信息。

攻击原理

        攻击者通过某种手段重置目标用户的SessionID,然后监听用户会话状态；
        目标用户携带攻击者设定的SessionID登录站点；
        攻击者通过SessionID获得合法会话；

修复方案

        每当用户登录的时候就会重置SessionID；
        SessionID闲置过久时，进行重置SessionID
        大部分防止会话劫持的方法对会话固定攻击同样有效。如设置httpOnly，关闭透明化SessionID，User-Agent验证，Token校验等。
 
敏感信息泄露
 
漏洞定义

    可定位到用户，用户身份属性，认证信息，商业信息等的信息称为敏感信息，通过明文保存，界面未掩码，后端接口返回，直接放在URL中等方式造成数据泄露，称之为敏感信息泄露。

利用场景

        数据被盗取贩卖
        骚扰电话、垃圾邮件、短信；
        电话诈骗等；

修复方案

        使用HTTPS传输敏感信息；
        敏感信息使用POST请求提交；
        界面敏感信息掩码处理；
        敏感信息保存需要加密处理；
 
命令行注入攻击
 
漏洞定义

    Web系统底层去调用系统操作命令，参数接收用户输入，并未过滤用户输入的数据，攻击者可以构造恶意命令或代码形成系统命令执行漏洞；

攻击原理

    攻击者控制命令的组成部分，如参数或指令，通过特制的输入数据影响和控制应用执行相关的命令。

利用场景

    系统提权;读取/操作系统敏感文件

修复方案

        采用白名单方式，对一切用户输入进行校验过滤