-什麼是應用程序安全風險？

對象重用(Object reuse)
根據NIST術語表，對象重用是指“在確保沒有殘留數據保留在存儲介質上之後，對包含一個或多個對象的存儲介質進行重新分配和重用”。
但是，將“對象”稱為“內存空間”並不少見。現代操作系統可以動態分配內存空間給進程，並在釋放時重新使用內存。如果操作系統不啟動或清除分配給進程的內存，則存在數據駐留的風險。

跨站腳本（Cross-Site Scripting -XSS）
跨站點腳本（XSS）是“一個漏洞，攻擊者可以利用該漏洞將惡意代碼注入到原本良性的網站中。這些腳本獲得目標網站生成的腳本的權限，因此可能損害網站與客戶端之間數據傳輸的機密性和完整性。如果網站顯示用戶在請求或表單中提供的數據而沒有對數據進行清理以使其不可執行，則它們將很容易受到攻擊。”
資料來源：NIST SP 800-63-3

SQL注入(SQL Injection)
SQL注入指的是“查找將未充分處理的用戶輸入傳遞給數據庫後端的網站的攻擊”。
資料來源：NISTIR 7682

會話劫持(Session Hijacking)
會話劫持是“一種攻擊，攻擊者可以在後兩方之間成功進行身份驗證交換之後，在請求者和驗證者之間插入自己的身份。攻擊者可以冒充驗證者或相反的身份來控制會話數據交換。索賠人與移民代表之間的會議也可能受到類似的損害。”
資料來源：NIST SP 800-63-3

參考
. NISTIR 7682
. NIST SP 800-63-3
. OWASP Top Ten 2017

資料來源： Wentz Wu QOTD-20201208