OWASP Top漏洞说明

A1-注入：

注入漏洞是指攻击者通过向Web页面或应用程序输入恶意数据，从而实现对Web页面或应用程序的攻击和控制。这包括SQL注入、OS注入、LDAP注入等

分类：
SQL注入
XXE
Xpath注入
0S命令注入
LDAP注入
代码执行&命令执行

A2-失效的身份认证和会话管理

身份验证机制的失败可能导致未授权的访问。

分类：
弱口令&口令破解
Cookie伪造&Cookie绕过
逻辑绕过登录
会话固定
会话劫持
密码找回
验证码安全
流程乱序

A3 跨站脚本(XSS)

已经不是最新。现在的系统，关掉插件显示都异常。不能正常显示

分类
反射XSS
存储XSS
基于DOM XSS

A4-失效的访问控制

失效的访问控制意味着某些页面或功能可以被未授权的用户访问，可能导致敏感信息泄露或未授权的功能执行。

分类
未授权访问
越权访问(水平越权&垂直越权)
业务一致性篡改
业务数据篡改
文件操作：文件上传、文件包含、任意文件下载、任意删除

A5-安全配置错误

安全配置错误包括不正确配置安全设置，如不安全的API密钥暴露、默认密码等。

分类
高危端口 22 139 3389 6379…
数据库：口令
WebServer中间件：目录遍历
应用 ：redis 口令

A6-敏感信息泄漏

不安全的设计指的是在软件设计阶段未能充分考虑安全因素，导致安全漏洞。

分类：
弱文件： phpinfo 、备份文件
源代码：git提交
配置文件&JDBC
数据库文件

A7-攻击检测防范不足

安全配置错误包括不正确配置安全设置，如不安全的API密钥暴露、默认密码等。

分类：
WAFS
RASP
AppSensor
虚拟/实际补丁

A8-跨站请求伪造(CSRF)

服务器端请求伪造允许攻击者通过服务器发起恶意请求，可能导致内部系统的数据泄露或服务中断。

分类
欺骗 伪造
点击劫持
CSRF蠕虫

A9-使用含有已知漏洞的组件

使用已知存在安全漏洞的第三方组件，可能导致系统被攻击。

分类：
Struts2&Spring代码执行
Java反序列化
CVE&NVD…

A10-未受保护的APIS

WebServices
login API
APP API
DB API
Pay API
Type: XML JSON RPC GWT CustomAPI

A11:安全日志记录和监控故障

安全日志记录和监控的不足可能导致安全事件未被及时发现和响应。

这应该是不全，没有绝对的安全，只有没被发现的漏洞