最新2007年OWASP十大Web資安漏洞 (2007 OWASP Top 10)

十大Web資安漏洞清單

A1. 跨網站的入侵字串(Cross Site Scripting，簡稱XSS，亦稱為跨站腳本攻擊)：Web應用程式直接将來自使用者的執行請求送回瀏覽器執行，使得攻擊者可擷取使用者的Cookie或Session資料而能假冒直接登入為合法使用者。

A2. 注入缺失(Injection Flaw)：Web應用程式執行來自外部包括資料庫在内的惡意指令，SQL Injection與Command Injection等攻擊包括在内。

A3. 惡意檔案執行(Malicious File Execution)：Web應用程式引入來自外部的惡意檔案并執行檔案内容。

A4. 不安全的物件參考(Insecure Direct Object Reference)：攻擊者利用Web應用程式本身的檔案讀取功能任意存取檔案或重要資料，案例包括http://example/read.php?file=../../../../../../../c:/boot.ini。

A5. 跨網站的偽造要求 (Cross-Site Request Forgery，簡稱CSRF): 已登入Web應用程式的合法使用者執行到惡意的HTTP指令，但Web應用程式卻當成合法需求處理，使得惡意指令被正常執行，案例包括社交網站分享的 QuickTime、Flash影片中藏有惡意的HTTP請求。

A6. 資訊揭露與不适當錯誤處置 (Information Leakage and Improper Error Handling)：Web應用程式的執行錯誤訊息包含敏感資料，案例包括:系統檔案路徑的揭露或資料庫欄位名稱。

A7. 遭破壞的鑑别與連線管理(Broken Authentication and Session Management)：Web應用程式中自行撰寫的身分驗證相關功能有缺陷。

A8. 不安全的密碼儲存器 (Insecure Cryptographic Storage)：Web應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或将金鑰儲存於容易被取得之處。

A9. 不安全的通訊(Insecure Communication)：傳送敏感性資料時并未使用HTTPS或其他加密方式。

A10. 疏於限制URL存取(Failure to Restrict URL Access)：某些網頁因為沒有權限控制，使得攻擊者可透過網址直接存取，案例包括允許直接修改Wiki或Blog網頁内容。

這次OWASP公布新版Top 10反映出目前的攻擊現況，以今年為例，Cross-Site Scripting(XSS)調整為10大攻擊之首，真實的反映出目前網路釣魚與詐欺的攻擊濫用XSS的情形，事實上，美國國防部的BSI計畫(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究機構的CVE資安脆弱性清單(http://cve.mitre.org/) 亦顯示1)Cross Site Scripting與2)SQL Injection已連續兩年列為全球頭号嚴重資安弱點.