最新2007年OWASP十大Web资安漏洞 (2007 OWASP Top 10)

十大Web资安漏洞列表

A1. 跨网站的入侵字串(Cross Site Scripting，简称XSS，亦称為跨站脚本攻击)：Web应用程式直接将来自使用者的执行请求送回瀏览器执行，使得攻击者可擷取使用者的Cookie或Session资料而能假冒直接登入為合法使用者。

A2. 注入缺失(Injection Flaw)：Web应用程式执行来自外部包括资料库在内的恶意指令，SQL Injection与Command Injection等攻击包括在内。

A3. 恶意档案执行(Malicious File Execution)：Web应用程式引入来自外部的恶意档案并执行档案内容。

A4. 不安全的物件参考(Insecure Direct Object Reference)：攻击者利用Web应用程式本身的档案读取功能任意存取档案或重要资料，案例包括http://example/read.php?file=../../../../../../../c:/boot.ini。

A5. 跨网站的偽造要求 (Cross-Site Request Forgery，简称CSRF): 已登入Web应用程式的合法使用者执行到恶意的HTTP指令，但Web应用程式却当成合法需求处理，使得恶意指令被正常执行，案例包括社交网站分享的 QuickTime、Flash影片中藏有恶意的HTTP请求。

A6. 资讯揭露与不适当错误处置 (Information Leakage and Improper Error Handling)：Web应用程式的执行错误讯息包含敏感资料，案例包括:系统档案路径的揭露或资料库栏位名称。

A7. 遭破坏的鑑别与连线管理(Broken Authentication and Session Management)：Web应用程式中自行撰写的身分验证相关功能有缺陷。

A8. 不安全的密码储存器 (Insecure Cryptographic Storage)：Web应用程式没有对敏感性资料使用加密、使用较弱的加密演算法或将金钥储存於容易被取得之处。

A9. 不安全的通讯(Insecure Communication)：传送敏感性资料时并未使用HTTPS或其他加密方式。

A10. 疏於限制URL存取(Failure to Restrict URL Access)：某些网页因為没有权限控制，使得攻击者可透过网址直接存取，案例包括允许直接修改Wiki或Blog网页内容。

这次OWASP公布新版Top 10反映出目前的攻击现况，以今年為例，Cross-Site Scripting(XSS)调整為10大攻击之首，真实的反映出目前网路钓鱼与诈欺的攻击滥用XSS的情形，事实上，美国国防部的BSI计画(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究机构的CVE资安脆弱性列表(http://cve.mitre.org/) 亦显示1)Cross Site Scripting与2)SQL Injection已连续两年列為全球头号严重资安弱点.