owasp 10 2023

OWASP Top 10是一个由Open Web Application Security Project（OWASP）组织发布的关于Web应用程序安全风险的指南。它列出了当前最重要的十个Web应用程序安全风险，帮助开发人员和安全专家了解并解决这些风险。

目前，OWASP Top 10 2023版本尚未发布，最新版本是OWASP Top 10 2017。以下是OWASP Top 10 2017的列表：

1. 注入（Injection）：指的是未经过滤或验证的用户输入被当作命令或查询语言的一部分执行，导致攻击者可以执行恶意代码。
2. 跨站脚本攻击（Cross-Site Scripting，XSS）：攻击者通过在Web应用程序中注入恶意脚本，使其在用户浏览器中执行。
3. 不安全的身份验证（Broken Authentication）：指的是对用户身份验证和会话管理的不正确实施，导致攻击者可以绕过身份验证措施。
4. 暴露敏感数据（Sensitive Data Exposure）：指的是未正确保护敏感数据，导致攻击者可以访问和窃取这些数据。
5. XML外部实体攻击（XML External Entities，XXE）：攻击者利用XML解析器的漏洞，读取或修改服务器上的文件。
6. 不安全的访问控制（Broken Access Control）：指的是对用户访问控制的不正确实施，导致攻击者可以访问未经授权的资源。
7. 安全配置错误（Security Misconfiguration）：指的是对安全配置的不正确实施，导致攻击者可以利用这些错误进行攻击。
8. 跨站请求伪造（Cross-Site Request Forgery，CSRF）：攻击者通过伪造合法用户的请求，执行未经授权的操作。
9. 使用已知的漏洞组件（Using Components with Known Vulnerabilities）：指的是使用已知存在漏洞的第三方组件，导致应用程序易受攻击。
10. 不足的日志记录和监控（Insufficient Logging & Monitoring）：指的是对应用程序的日志记录和监控不足，导致无法及时发现和响应安全事件。