轉載鏈接：謝公子https://blog.csdn.net/qq_36119192/article/details/102372326

本文是對Web中最常見漏洞的一個小結，既然是Web漏洞，那自然而然不能忽略了OWASP Top10了。最新版的OWASP Top10還是2017年公布的。如下：

注入

失效的身份認證

敏感信息泄露

XML 外部實體（XXE）

失效的訪問控制

安全配置錯誤

跨站腳本（XSS）

不安全的反序列化

使用含有已知漏洞的組件

不足的日志記錄和監控

詳情：OWASP Top 10 2017

以下是個人根據漏洞分類進行總結：

注入類漏洞：

• SQL注入漏洞詳解
• XXE(XML外部實體注入)
• 代碼注入漏洞
• CRLF注入

注入類漏洞是應用違背了“數據與代碼分離原則”導致的結果。它有兩個條件：一是用戶能夠控制數據的輸入，二是代碼拼湊了用戶輸入的數據，把數據當成代碼執行了。在對抗注入攻擊時，只需要牢記“數據與代碼分離原則”，在拼湊的地方進行安全檢查。

文件類漏洞：

• 文件上傳漏洞
• 文件解析漏洞
• 文件包含漏洞
• 目錄瀏覽(目錄遍歷)漏洞和任意文件讀取/下載漏洞

跨站類漏洞：

• SSRF(服務端請求偽造)漏洞
• CORS跨域資源共享漏洞
• JSONP跨域資源共享的安全問題
• XSS(跨站腳本攻擊)詳解
• CSRF(跨站請求偽造)

配置錯誤漏洞：

• 未授權訪問漏洞總結
• 不安全的HTTP方法
• Host頭部攻擊
• CRLF注入
• 目錄瀏覽(目錄遍歷)漏洞和任意文件讀取/下載漏洞

反序列化漏洞：

• PHP反序列化漏洞
• JAVA反序列化漏洞

邏輯類漏洞：

• 注冊、登錄、密碼修改頁面滲透測試經驗小結
• 條件競爭漏洞
• HTTP參數污染(HPP)漏洞
• 邏輯漏洞之越權訪問漏洞

Web服務器漏洞：

• Web 服務器安全

第三方庫漏洞：

• JQuery跨站腳本漏洞
• OpenSSL相關漏洞
• Struts2漏洞

?

總結

以上是生活随笔為你收集整理的web安全小结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。