Injection, 注入
数据未处理妥当, 被命令解释器当作命令执行了
Broken Authentication, 无效的身份验证
使得用户验证失效, 比如拖库撞库
Sensitive Data Exposure, 敏感数据泄露
敏感数据泄露, 造成信用卡欺诈, 身份盗用等威胁
XML External Entities (XEE)
当数据以XML 格式传输的时候, 被加上了外部实体标签(<!ELEMENT 实体名称 system "URL">), 有的XML 解释器会执行URL
URL 可以指向某个端口
URL 可以指向内部敏感数据的文件
解释器报告格式错误时会返回错误结果给浏览器, 包括访问DTD URL 的结果
Broken Access Control, 无效的的访问控制
行为超出了预期权限
Security Misconfiguration
配置错误或者使用了不必要的端口和服务
Cross-Site Scripting XSS
网页被注入了恶意脚本
Insecure Deserialization, 不安全的还原序列化
将运行时的状态序列化后以便存储和传输, 序列化的东西有被篡改的风险, 要做摘要检查.
Using Components with Known Vulnerabilities
使用的框架或轮子存在已知漏洞
Insufficient Logging & Monitoring
日志记录和监控等防御手段不足, 导致被攻击的时长非常持久, 攻击面不断扩大
参考
https://owasp.org/www-project-top-ten/
What Is An XXE Attack?