應用威脅 | 負面影響 | 後果 |
跨站腳本*** | 標識盜竊,敏感數據丟失 | ***可以模擬合法用戶,控制其帳戶 |
SQL注入*** | 通過構造查詢對數據庫、LDAP和其他系統進行非法查詢 | ***可以訪問後端數據庫信息,修改、盜竊 |
惡意文件執行 | 在服務器上執行Shell命令Execute,獲取控制權 | 被修改的站點將所有交易傳送給*** |
不安全對象引用 | ***訪問敏感文件和資源 | Web 應用返回敏感文件內容 |
僞造跨站點請求 | ***調用Blind動作,模擬合法用戶 | ***發起 Blind 請求,要求進行轉帳 |
信息泄露和不正確的錯誤處理 | ***得到詳細系統信息 | 惡意的系統檢測可能有助於更深入的*** |
被破壞的認證和Session管理 | Session token沒有被很好的保護 | 在用戶推出系統後,***能夠盜竊 session |
不安全的***存儲 | 過於簡單的加密技術導致***破解編密碼 | 隱祕信息被***解密盜竊 |
不安全的通訊 | 敏感信息在不安全通道中以非加密方式傳送 | ***可以通過嗅探器嗅探敏感信息。模擬合法用戶 |
URL訪問限制失效 | ***可以訪問非授權的資源連接 | ***可以強行訪問一些登陸網頁、歷史網頁 |
原文:http://zhengj3.blog.51cto.com/6106/290728