OWASP-TOP10,網絡空間中常見的10大類型漏洞

• Broken Access Control 訪問控制失效
• Cryptographic Failures 加密失效

Injection 注入

用戶控制的輸入被應用程序解釋為實際的命令或參數。
常見的有SQL注入和命令注入

Linux

• whoami
• id
• ifconfig/ip addr
• uname -a
• ps -ef

Windows

• whoami
• ver
• ipconfig
• tasklist
• netstat -an

• Insecure Design 不安全的設計
• Security Misconfiguration 安全配置錯誤
• Vulnerable and Outdated Component 易受攻擊和過時的組件

Identification and Authentication Failures 身份驗證和授權失敗

Software and Data Integrity Failures 軟件和數據完整性失敗

JWT偽造，cookie偽造

• Security Logging & Monitoring Failures 安全日志與監控失敗

暴力破解賬號密碼未察覺

• Server-Side Request Forgery (SSRF) 服務器端請求偽造（SSRF）

XML 外部實體 （XXE） 攻擊是濫用 XML 解析器/數據功能的漏洞。它通常允許攻擊者與應用程序本身可以訪問的任何后端或外部系統進行交互，并允許攻擊者讀取該系統上的文件。它們還可能導致拒絕服務 （DoS） 攻擊，或者可能使用 XXE 執行服務器端請求偽造 （SSRF），誘使 Web 應用程序向其他應用程序發出請求。XXE 甚至可能啟用端口掃描并導致遠程代碼執行。

<!DOCTYPE replace [<!ENTITY name "feast"> ]>
 <userInfo>
  <firstName>falcon</firstName>
  <lastName>&name;</lastName>
 </userInfo>

&read;

XSS：

<img src=x onerror=alert('XSS Test')> 事件型xss
獲取 Cookie