关于本文档:
本文档是基于OWASP TOP 10写成,描述了OWASP TOP 10中所讲到的风险并对其进行风险等级鉴定,漏洞描述,漏洞危害,测试方法,测试过程对系统的影响以及修复方法。
在做项目的过程中,我们所面对的更多的是生产系统,并不是所有的企业都存在测试服务器。所以我们要深入了解每一个漏洞的特性,以及每一个漏洞的详细方法,并且确保测试对系统的风险是在可承受范围内的,将风险降低到最低。
本文档含有介绍的风险有:
1.SQL注入
2.跨站漏洞脚本(XSS)
3.跨站请求伪造(CSRF)
4.功能级访问控制缺失
5.远程代码执行
6.上传漏洞
7.任意文件下载
8.敏感信息泄漏
9.使用含有已知漏洞的组件
10.未验证的重定向和转发
我深知我们面临的问题不止这些,但是由于和时间有限,仓促中完成了这份文档。如有不足,请多谅解,并请提出意见与建议方便改正。
作为收集整理此文的修订者,我怀着无比深邃的怨念参考了诸多资料才
使得此物最终诞生,在此感谢整理过程中所有施舍帮助于我的人们.愿他
们幸福快乐.
************************************************************************
* Copyright (C) 2014 by
Pang@INSAFE
* E-mail:Root@0dAy.Cc
*
* 本文当是个自由文档;
*
* 你可以对本文当有如下操作
* 可自由复制
* 你可以将文档复制到你的或者你客户的电脑,或者任何地方;
* 复制份数没有任何限制。
*
* 可自由分发
* 在你的网站提供下载,拷贝到U盘送人,或者将源代码打印出
* 来从窗户扔出去(环保起见,请别这样做)。
*
* 可以用来盈利
* 你可以在分发软件的时候收费,但你必须在收费前向你的客
* 户提供该软件的 GNU GPL 许可协议,以便让他们知道,他
* 们可以从别的渠道免费得到这份软件,以及你收费的理由。
*
* 可自由使用
* 如果你想在别的项目中使用部分代码,没问题,唯一的要求是
* 使用了这段代码的项目也必须使用 GPL 协议。
*
* 推荐使用Chrome浏览器或类Chrome内核浏览器阅读本文
*
* 对由IE给您带来的阅读障碍深表遗憾 *
************************************************************************
版权所有(C)2014 <Pang@INSAFE>
************************************************************************
Post Title: [0day储藏室出品]安全隐患名录-Web
Post Url: http://www.blackxl.org/directory-web-security-risks.html
感谢。