Web應用程式常見的安全漏洞，我們要用OWASP學習

OWASP 開放網路軟體安全計畫，主要目的是為了研究協助解決網路軟體安全得標準貨工作技術，致力於協助政府和企業了解並改善應用程式安全性，等下會介紹OWASP發佈的十大網路弱點防護守則

1.Cross Site Scripting(XSS):跨腳本攻擊，攻擊者會將惡意腳本注入到合法網站，當用戶訪問時，腳本會在他們瀏覽器執行

2.Injection Flaws：使用者將資料傳輸到interpreter，會被當成指令或是查詢，攻擊者可以用惡意資料欺騙interpreter，達成指令或是竄改資料

3.Insecure Remote File Include:有弱點的程式碼讓攻擊者可以附近惡意程式，導致毀滅性攻擊

4.Insecure Direct Object Reference：不安全的直接對象參考，開放中暴露檔案夾、資料庫、或是key來作為URL或是From的參數，攻擊者可操作這些references擅自進入其他objects

5.Cross Site Request Forgery(CSRF):
跨站請求偽造，攻擊者誘導已登錄的用戶在不知情情況下發送請求，執行未授權得操作

6.Information Leakage and Improper Error Handling：攻擊者透過程式可能洩漏configuration訊息來攻擊

7.Broken Authentication and Session Management ：會話劫持，竊取用戶密碼、key、ID來偽裝用戶

8.Insecure Cryptographic Storage：網路應用程式很少正常使用cryptographic function保護資料，攻擊者趁這時冒用其他人身分

9.Insecure Communications ：應用程式經常忽略「加密」方式保護網路通訊

10.Failure to Restrict URL Access：應用程式的敏感地區是被保護的links或是URL，這些不會給未授權的使用者，攻擊者透過這點進入，並進行未授權行為