一些最常见的Web应用程序漏洞往往最容易被利用，因为它们很难被发现，通常被安全团队忽略并遭到攻击者的追捧。这些漏洞在生产环境中显现的另一个原因是，在编写应用程序时从未检测到这些漏洞，这表明安全性并未纳入开发过程。没有可见性，安全性就处于黑暗之中，只有在事实发生后或攻击者或用户找到它们后，才能检测到这些问题。

那么，最被利用的Web应用程序漏洞是什么，如何在开发过程中避免它们？让我们深入。

满足十大常用漏洞

OWASP每隔几年会根据对500多个行业专家的调查（涵盖100,000多个生产应用程序）汇总10个最常利用的漏洞的列表。根据可利用性，可检测性和影响选择漏洞。结果是一个列表，使我们可以很好地了解Infosec社区对应用程序安全性的看法。这是评估您的appsec状态，确定威胁优先级并进行补救的一种好方法。

在下面了解它们的每个：

1.注入

注入已经盛行了20多年，因为它们可以采用多种形式，并且在各个框架中无处不在。根据OWASP的介绍，当将不可信数据作为命令或查询的一部分发送到解释器时，会出现诸如SQL，NoSQL，OS和LDAP的注入漏洞。攻击者可以绕过任何授权，诱使解释器执行命令或访问数据。如果被利用，这些漏洞可能是有害的。

2.身份验证失败

这包括不正确的配置，较弱的身份验证过程和较差的会话管理。当身份验证被破坏时，攻击者可以临时或永久地破坏凭据或模拟用户。这可能是对手获取敏感和有价值的信息或系统的快速通道。

3.敏感数据公开

由于不正确的加密和数据的宝贵性质导致的个人身份信息（PII）危害有所增加，因此该漏洞在列表中有所上升。根据OWASP的说法，许多Web应用程序和API无法适当地保护敏感数据，如PII或财务信息，从而导致信用卡欺诈和身份盗窃等事件。

4. XML外部实体（XXE）

通常，较旧的或配置不当的XML处理器会评估XML文档中的外部实体引用。外部实体可以使用文件URI处理程序，内部文件共享，内部端口扫描，远程代码执行和拒绝服务攻击来公开内部文件。

5.访问控制损坏

如果未正确控制或强制执行已验证的用户访问，则会发生这种情况。这可能导致比正常情况更大的访问权限，攻击者可以利用这些漏洞并访问未经授权的功能或数据。随着攻击面的增加，用户帐户，敏感文件和访问权限等内容可能会受到威胁。

6.安全配置错误

这是组织中最常见的问题。这通常是由于不安全，不完整或临时的默认配置或配置不正确的HTTP标头，开放的云存储或包含敏感信息的错误消息造成的。这意味着不仅应该安全地配置操作系统，框架，库和应用程序，而且还必须定期对其进行修补和升级以确保安全。

7.跨站点脚本（XSS）

XSS非常普遍，但由于近来基于浏览器的XSS保护更好，因此在OWASP列表中显示的位置较低，从而使其难以利用。当应用程序在未经适当验证的情况下在网页上拥有不受信任的数据时，就会发生XSS漏洞，从而使攻击者能够在受害者的Web浏览器中执行脚本来劫持其会话，破坏网站或将用户重定向到恶意站点。

8.不安全的反序列化

此漏洞通常导致远程执行代码或执行诸如重播攻击，注入攻击和特权提升攻击之类的攻击。通常可以通过严格验证和控制反序列化的内容和/或重大的体系结构更改来缓解这种情况。

9.使用具有已知漏洞的组件

您组织中的某人最后一次使用具有已知漏洞的组件是什么时候？大多数组织都不知道，特别是分散管理的情况。如果诸如应用程序或API之类的易受攻击的组件具有已知漏洞并被利用，则可能导致严重的数据丢失或服务器接管。

10.日志和监控不足

最后但并非最不重要的一点是，如果日志记录和监视功能未与事件响应集成在一起，则攻击者通常会在雷达下飞行，以深入到系统中，保持持久性，转向更多系统，并篡改，提取或破坏数据。由于检测到平均违规的时间超过200天，因此适当的漏洞管理程序是确保一切都看不到的唯一方法。