A1 – 注入
注入攻击漏洞, 例如SQL,OS以及LDAP注入。这些攻击发生在当不可信的数据作为命
令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释
器,以执行计划外的命令或者在未被恰当授权时访问数据。
A2 – 失效的身份认证和会话管理
与身份认证和回话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击
者攻击者破坏密码、密钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份(暂时或永
久的)。
A3 – 跨站脚本(XSS)
当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它
发送给一个网页浏览器,或者使用可以创建javaScript脚本的浏览器API利用用户提供的数据
更新现有网页,这就会产生跨站脚本攻击。XSS允许攻击者在受害者的浏览器上执行脚本,
从而劫持用户会话、危害网站或者将用户重定向到恶意网站。
A4 – 失效的访问控制
对于通过认证的用户所能够执行的操作,缺乏有效的限制。攻击者就可以利用这些缺
陷来访问未经授权的功能和/或数据,例如访问其他用户的账户,查看敏感文件,修改其他
用户的数据,更改访问权限等。
A5 – 安全配置错误
好的安全需要对应用程序、框架、应用程序服务器、web服务器、数据库服务器和平
台定义和执行安全配置。由于许多设置的默认值并不是安全的,因此,必须定义、实施和
维护这些设置。此外,所有的软件应该保持及时更新。
A6 – 敏感信息泄露
许多web应用程序和API没有正确保护敏感数据,如财务、医疗保健和PII。攻击者可能
会窃取或篡改此类弱保护的数据,进行信用卡欺骗、身份窃取或其他犯罪行为。敏感数据
应该具有额外的保护,例如在存放或在传输过程中的加密,以及与浏览器交换时进行特殊
的预防措施。
A7 – 攻击检测与防护不足
大多数应用和API缺乏检测、预防和响应手动或自动化攻击的能力。攻击保护措施不限
于基本输入验证,还应具备自动检测、记录和响应,甚至阻止攻击的能力。应用所有者还
应能够快速部署安全补丁以防御攻击。
A8 – 跨站请求伪造(CSRF)
一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求,包括受害者的会话
cookie和所有其他自动填充的身份认证信息,发送到一个存在漏洞的web应用程序。这种攻
击允许攻击迫使受害者的浏览器生成让存在漏洞的应用程序认为是受害者的合法请求的请
求。
A9 – 使用含有已知漏洞的组件
组件,比如:库文件、框架和其他软件模块,具有与应用程序相同的权限。如果一个
带有漏洞的组件被利用,这种攻击可以促成严重的数据丢失或服务器接管。应用程序和API
使用带有已知漏洞的组件可能会破坏应用程序的防御系统,并使一系列可能的攻击和影响
成为可能。
A10 –未受有效保护的API
现代应用程序通常涉及丰富的客户端应用程序和API,如:浏览器和移动APP中的
JavaScript,其与某类API(SOAP/XML、REST/JSON、RPC、GWT等)连接。这些API通常是不
受保护的,并且包含许多漏洞。