除了關注業務本身外，越來越多的企業也開始關注web安全。Web安全領域我們經常看到OWASP Top 10，那么什么是OWASP Top 10呢?它跟Web有什么關系呢?

OWASP(開放式Web應用程序安全項目)是一個開源的、非營利性的全球性安全組織，致力于改進Web應用程序的安全，這個組織最出名是，它總結了10種最嚴重的Web應用程序安全風險，警告全球所有的網站擁有者，應該警惕這些最常見、最危險的漏洞。

這就是著名的OWASP Top 10。

OWASP Top 10包括：注入、失效身份驗證和會話管理、敏感信息泄露、XML外部實體注入攻擊(XXE)、存取控制中斷、安全性錯誤配置、跨站腳本攻擊(XSS)、不安全的反序列化、使用具有已知漏洞的組件、日志記錄和監控不足。

注入

當Web應用程序缺乏對使用的數據進行驗證和清理的時候，極易發生注入攻擊。著名的注入攻擊有SQL注入、NoSQL注入、OS注入等。注入攻擊會導致數據丟失和被破壞，甚至主機被黑客完全接管。

失效身份驗證和會話管理

失效身份驗證和會話管理主要發生在Web應用程序身份驗證環節，身份驗證機制出現邏輯問題便會出現此類問題。黑客會利用身份驗證漏洞，嘗試控制系統中的賬戶，一旦操作成功，他便能合法的進行任何操作。

敏感信息泄露

敏感信息泄露是目前存在最廣泛的Web應用程序問題，Web應用程序、API未加密，或者無法準確保護敏感信息，均會導致個人信息、密碼等敏感信息泄露，被黑客出售給第三人，或用于違法犯罪目的。

XML外部實體注入攻擊(XXE)

這種攻擊主要針對解析XML輸入的Web應用程序。弱配置的XML解析器處理包含外部實體引用的XML輸入時，就會發生XXEE攻擊。黑客會利用這個漏洞竊取URI文件處理器的內部文件和共享文件，從而監聽或執行遠程代碼，或發動拒絕服務攻擊。

存取控制中斷

如果對已經身份驗證通過的用戶，沒有實施合適的訪問權限控制，那么攻擊者便可以通過這個漏洞，去使用未經授權的功能，以及查看未經授權的數據，例如訪問用戶的賬戶、查看敏感文件等等。

安全性錯誤配置

操作者使用默認配置、臨時配置、開源云存儲、http標頭配置等不當配置，攻擊者便會利用這些錯誤配置，獲得更高的權限。安全性錯誤配置是最常見的漏洞之一，攻擊難度低。攻擊者可使用自動化程序發動攻擊，極其危險。

跨站腳本攻擊(XSS)

黑客將惡意的客戶端腳本注入到目標網站，并將該網站用作傳播方法。攻擊者發動XSS攻擊后，受害網站的顯示方式會被黑客控制，網站會被黑客重定向至新頁面，或者顯示廣告、違法犯罪等內容。

不安全的反序列化

攻擊程序會嘗試在不進行任何驗證的情況下，對數據進行反序列化，不安全的反序列化會導致遠程代碼執行、重放攻擊、注入攻擊等。

使用具有已知漏洞的組件

如果Web應用程序含有已知的漏洞，攻擊者可利用漏洞獲取數據或接管服務器。Web應用程序所使用的框架、庫或者其他軟件模塊，會破壞應用程序的防御，造成更為嚴重的后果。

日志記錄和監控不足

日志記錄和監控是一種有效的防范手段，它能在發送問題時，幫助你迅速采取行動，如果應用程序日志記錄和監控不足，黑客能進一步控制系統，造成更大、更長遠的危害。