community/owasp-top-ten

OWASP Top Ten 是一个广泛认可的、关于网络安全威胁和漏洞的列表。它旨在帮助安全团队识别和解决最关键的网络安全风险。

OWASP Top Ten 概述

OWASP Top Ten 每年都会更新，以反映当前的安全威胁和漏洞。以下是 2021 年的 Top Ten：

A1：注入 - 在没有适当验证的情况下，将用户输入插入到 SQL、命令或脚本中，可能导致数据泄露、数据损坏或系统控制。
A2： Broken Authentication - 存在弱认证机制或认证存储不当，可能导致用户账户被非法访问。
A3： Sensitive Data Exposure - 未正确保护敏感数据，可能导致数据泄露。
A4： XML External Entities (XXE) - XML 解析器未正确配置，可能导致外部实体注入攻击。
A5： Broken Access Control - 访问控制不当，可能导致未经授权的数据访问。
A6： Security Misconfiguration - 系统配置不当，可能导致安全漏洞。
A7： Cross-Site Scripting (XSS) - 允许恶意脚本在用户浏览器中执行，可能导致用户会话劫持。
A8： Insecure Deserialization - 不安全的反序列化，可能导致远程代码执行。
A9： Using Components with Known Vulnerabilities - 使用已知漏洞的组件，可能导致安全漏洞。
A10： Insufficient Logging & Monitoring - 缺乏足够的日志记录和监控，可能导致安全事件无法及时检测和响应。

扩展阅读

更多关于 OWASP Top Ten 的信息，您可以访问 OWASP Top Ten 官方网站。