Web應用常見的十大安全漏洞

　　現在許多公司都在用Web應用程序，其實Web應用程序中有一些常見的安全漏洞，學習啦小編在這里給大家介紹，希望開發者能在開發應用時注意。

　　1. 注入，包括SQL、操作系統和LDAP注入

　　注入缺陷，如sql、os和ldap注入出現在不受信任的數據作為命令的一部分或查詢。攻擊者的惡意數據可以解釋器執行命令或訪問未經授權數據。

　　2. 有問題的鑒別與會話管理

　　驗證和會話管理相關的應用功能往往不能正確實施，使得攻擊者能夠妥協密碼、密鑰或會話令牌，或利用其他實現缺陷承擔其他用戶的身份。

　　3. 跨站腳本攻擊(XSS)

　　xss使得攻擊者能夠在受害者的瀏覽器中執行腳本，可以劫持用戶會話、污損網站，或者將用戶重定向到惡意網站。

　　4. 不安全的直接對象引用

　　直接對象引用時發生于公開內部實現的對象引用，如文件、目錄或數據庫的關鍵引用，攻擊者可以操縱這些引用來訪問未經授權的數據。

　　5. 安全配置錯誤

　　良好的安全需要有一個安全的配置定義和部署應用、框架、應用服務器、web服務器、數據庫服務器和平臺。安全的重點是實現和維護，此外，軟件應該保持最新。

　　6. 暴露敏感數據

　　許多web應用程序不能正確保護敏感數據，如信用卡、稅務id和身份驗證憑據。攻擊者可能會竊取或修改這些弱受保護的數據進行信用卡詐騙、身份盜竊，或其他罪行。如加密敏感數據是關鍵的預防措施。

　　7. 函數級訪問控制缺失

　　大多數web應用程序的功能級別的訪問權限驗證功能中可見的用戶界面。然而，應用程序需要在服務器上執行相同的訪問控制檢查在每個函數。攻擊者將能夠偽造請求，以訪問未經授權功能。

　　8. 跨站請求偽造(CSRF)

　　csrf攻擊登錄受害者的瀏覽器發送一個http請求，向易受攻擊的web應用程序，獲取包括受害者在內的會話cookie和任何其他自動包含身份驗證信息。攻擊者強制受害者的瀏覽器生成請求，導致應用程序認為是從受害者的合法要求。

　　9. 使用存在已知漏洞的組件

　　如數據庫、框架，和其他軟件模塊，幾乎都擁有完全權限的運行。如果利用易受攻擊的組件，這種攻擊可以導致數據丟失或服務器接管。并使可能的攻擊范圍和影響擴大。

　　10. 未驗證的重定向

　　經常和轉發用戶重定向到其他網頁的web應用程序和網站，并使用不受信任的數據來確定目標頁面。攻擊者可以重定向到網絡釣魚或惡意軟件網站。