年度十大Web安全漏洞(黑客免费接单)

　　警告!

　　Security于9月9日发布了2021年十大Web安全漏洞，利用网页和cookies写漏洞的跨站脚本攻击(XSS)高居榜首。

　　开放网络软件安全计划(开放网络应用安全

　　Project，OWASP)台湾省分公司今天公布了2021年十大网络安全漏洞，这些漏洞发生在年初知名的文档阅读器Adobe Acrobat中。

　　跨站脚本，XSS)在阅读器上排名第一。

　　上周，有人怀疑微软英国网站遭到加密代码攻击(注入漏洞，包括SQL注入和命令

　　注入)其次，第三种是Web应用程序引入外部恶意程序的恶意文件执行(恶意文件执行)。

　　OWASP台湾省分会主席黄耀文在新闻稿中表示，安全漏洞报告由OWASP资深安全专家根据Web安全漏洞的严重程度、是否容易被黑客采用等因素进行评选。，可以作为网站开发者开发时的安全参考。

　　随着Web 2.0的普及，新的Web应用的开发和相关技术(如AJAX)的应用成为网站出奇制胜的关键点。然而，当网站运营商争先恐后地提供创新的web服务时，web应用的安全性也成为一个新的问题。

　　趋势科技台湾省技术顾问简指出，大部分列出的漏洞，包括跨站脚本攻击和数据隐藏代码攻击，都是由于web应用程序编写不当，使得黑客易受攻击。

　　他认为，大部分web应用开发者缺乏安全相关的培训，可能导致开发的程序存在漏洞，导致黑客入侵网页、篡改网页、植入恶意程序，或者窃取数据。他认为，企业web开发者在开发web程序时应该更加严谨，避免类似事件再次发生。

　　他以6月底发生在意大利等欧洲国家的万余网站被入侵事件为例。他解释说，黑客已经能够利用专门的工具包主动搜索网站漏洞，进而入侵篡改网页内容，甚至造成大规模的网络灾难，提醒了web应用漏洞的普遍性以及黑客一旦被利用可能带来的严重后果。

　　制造商建议企业使用web应用程序保护设备来检测网站漏洞。

　　例如，Armorize Technologies推出了web应用程序的源代码检测器CodeSecure。

　　验证器，带自动静态分析(自动静态

　　Analysis)技术，提供web应用开发者从开发过程到上线的开发生命周期的原程序代码分析。

　　至于NetContinuum、F5、Check Point等厂商，他们推出了web应用防火墙，或者将其功能集成到UTM等网络安全硬件中，以阻挡针对web应用的攻击，达到保护Web应用安全的目的。

　　OWASP 2021十大Web安全漏洞第四至第十名分别是:应用程序可以随意访问文件的不安全的直接对象。

　　Reference，跨站点请求，允许合法用户执行恶意程序指令，但也可能被允许。

　　伪造(CSRF)，信息泄漏和进口商错误的机密数据泄漏的错误信息

　　使用有缺陷的认证功能处理、中断认证和会话

　　管理，不安全或未加密的不安全加密存储用于敏感数据加密，未加密的不安全传输数据

　　通信，以及由于没有权限控制而无法限制可以直接访问数据的URL访问。