安全隐患名录-Web

关于本文档:

本文档是基于OWASP TOP 10写成,描述了OWASP TOP 10中所讲到的风险并对其进行风险等级鉴定,漏洞描述,漏洞危害,测试方法,测试过程对系统的影响以及修复方法。

在做项目的过程中,我们所面对的更多的是生产系统,并不是所有的企业都存在测试服务器。所以我们要深入了解每一个漏洞的特性,以及每一个漏洞的详细方法,并且确保测试对系统的风险是在可承受范围内的,将风险降低到最低。

本文档含有介绍的风险有:

1.SQL注入

2.跨站漏洞脚本(XSS)

3.跨站请求伪造(CSRF)

4.功能级访问控制缺失

5.远程代码执行

6.上传漏洞

7.任意文件下载

8.敏感信息泄漏

9.使用含有已知漏洞的组件

10.未验证的重定向和转发

我深知我们面临的问题不止这些,但是由于和时间有限,仓促中完成了这份文档。如有不足,请多谅解,并请提出意见与建议方便改正。

点击阅读下载:Security-Hidden-danger-list.pdf

作为收集整理此文的修订者,我怀着无比深邃的怨念参考了诸多资料才

使得此物最终诞生,在此感谢整理过程中所有施舍帮助于我的人们.愿他

们幸福快乐.

************************************************************************

* Copyright (C) 2014 by Pang@INSAFE

* E-mail:Root@0dAy.Cc

*

* 本文当是个自由文档;

*

* 你可以对本文当有如下操作

* 可自由复制

* 你可以将文档复制到你的或者你客户的电脑,或者任何地方;

* 复制份数没有任何限制。

*

* 可自由分发

* 在你的网站提供下载,拷贝到U盘送人,或者将源代码打印出

* 来从窗户扔出去(环保起见,请别这样做)。

*

* 可以用来盈利

* 你可以在分发软件的时候收费,但你必须在收费前向你的客

* 户提供该软件的 GNU GPL 许可协议,以便让他们知道,他

* 们可以从别的渠道免费得到这份软件,以及你收费的理由。

*

* 可自由使用

* 如果你想在别的项目中使用部分代码,没问题,唯一的要求是

* 使用了这段代码的项目也必须使用 GPL 协议。

*

* 推荐使用Chrome浏览器或类Chrome内核浏览器阅读本文

*

* 对由IE给您带来的阅读障碍深表遗憾 *

************************************************************************

版权所有(C)2014

************************************************************************

转载自0day储藏室