除了关注业务本身外，越来越多的企业也开始关注web安全。Web安全领域我们经常看到OWASP Top 10，那么什么是OWASP Top 10呢？它跟Web有什么关系呢？

OWASP（开放式Web应用程序安全项目）是一个开源的、非营利性的全球性安全组织，致力于改进Web应用程序的安全，这个组织最出名是，它总结了10种最严重的Web应用程序安全风险，警告全球所有的网站拥有者，应该警惕这些最常见、最危险的漏洞。

这就是著名的OWASP Top 10。

OWASP Top 10包括：注入、失效身份验证和会话管理、敏感信息泄露、XML外部实体注入攻击（XXE）、存取控制中断、安全性错误配置、跨站脚本攻击（XSS）、不安全的反序列化、使用具有已知漏洞的组件、日志记录和监控不足。

?

注入

当Web应用程序缺乏对使用的数据进行验证和清理的时候，极易发生注入攻击。著名的注入攻击有SQL注入、NoSQL注入、OS注入等。注入攻击会导致数据丢失和被破坏，甚至主机被黑客完全接管。

失效身份验证和会话管理

失效身份验证和会话管理主要发生在Web应用程序身份验证环节，身份验证机制出现逻辑问题便会出现此类问题。黑客会利用身份验证漏洞，尝试控制系统中的账户，一旦操作成功，他便能合法的进行任何操作。

敏感信息泄露

敏感信息泄露是目前存在最广泛的Web应用程序问题，Web应用程序、API未加密，或者无法准确保护敏感信息，均会导致个人信息、密码等敏感信息泄露，被黑客出售给第三人，或用于违法犯罪目的。

XML外部实体注入攻击（XXE）

这种攻击主要针对解析XML输入的Web应用程序。弱配置的XML解析器处理包含外部实体引用的XML输入时，就会发生XXEE攻击。黑客会利用这个漏洞窃取URI文件处理器的内部文件和共享文件，从而监听或执行远程代码，或发动拒绝服务攻击。

存取控制中断

如果对已经身份验证通过的用户，没有实施合适的访问权限控制，那么攻击者便可以通过这个漏洞，去使用未经授权的功能，以及查看未经授权的数据，例如访问用户的账户、查看敏感文件等等。

安全性错误配置

操作者使用默认配置、临时配置、开源云存储、http标头配置等不当配置，攻击者便会利用这些错误配置，获得更高的权限。安全性错误配置是最常见的漏洞之一，攻击难度低。攻击者可使用自动化程序发动攻击，极其危险。

跨站脚本攻击（XSS）

黑客将恶意的客户端脚本注入到目标网站，并将该网站用作传播方法。攻击者发动XSS攻击后，受害网站的显示方式会被黑客控制，网站会被黑客重定向至新页面，或者显示广告、违法犯罪等内容。

不安全的反序列化

攻击程序会尝试在不进行任何验证的情况下，对数据进行反序列化，不安全的反序列化会导致远程代码执行、重放攻击、注入攻击等。

使用具有已知漏洞的组件

如果Web应用程序含有已知的漏洞，攻击者可利用漏洞获取数据或接管服务器。Web应用程序所使用的框架、库或者其他软件模块，会破坏应用程序的防御，造成更为严重的后果。

日志记录和监控不足

日志记录和监控是一种有效的防范手段，它能在发送问题时，帮助你迅速采取行动，如果应用程序日志记录和监控不足，黑客能进一步控制系统，造成更大、更长远的危害。