Broken Access Control |
訪問控制失敗可能導致未經授權的信息披露、修改或刪除。 |
可防止未授權訪問,增強資料保護 |
設定錯誤可能完全使控制失效/ 機制失效可能導致未經授權的資訊洩露、篡改或破壞。 |
Cryptographic Failures |
加密失敗:敏感數據應使用有效的加密方法保護,如未加密個人信息可能導致數據泄露。 |
提供數據保護,符合隱私法規 |
使用過時的弱加密方法如 MD5 會增加風險 |
Injection |
透過注入攻擊,惡意代碼被插入到應用中,可能使攻擊者獲得未經授權的訪問。 |
及早識別漏洞可減少數據洩露 |
防範措施不當可造成嚴重安全問題/一個常見的目標是網站的登入表單。當這些表單易受注入攻擊時,攻擊者可以插入惡意程式碼,進而修改或竊取使用者憑證 |
Insecure Design |
設計時未能考慮安全性,導致應用易受攻擊。 |
設計時考慮安全可大幅減少易受攻擊的風險 |
不良設計可能導致多種漏洞 |
Security Misconfiguration |
安全設定不正確或未維護,可能導致安全漏洞。企業在部署設備(如網路伺服器)時使用預設設定。這可能導致企業使用未能解決組織安全目標的設定。 |
定期檢查配置有助於減少安全隱患 |
默認配置通常不符合公司需求,安全弱點多 |
Vulnerable and Outdated Components |
使用未維護或有漏洞的組件,增加應用被利用的風險。 開發者多半不會從零開始撰寫所有程式碼,而是使用開源庫來更快更容易地完成專案。這些公開可用的軟體由程式設計師社群以志願形式維護。使用未被維護的易受攻擊元件的應用程式,面臨更高的被威脅行動者利用的風險。 |
使用更新且安全的組件可防止被攻擊 |
不監控組件是否更新可能導致嚴重漏洞 |
Identification and Authentication Failures |
應用未能正確識別用戶,可能導致未經授權的訪問。 |
強化身份驗證措施可降低風險 |
認證失敗導致的風險難以預見 |
Software and Data Integrity Failures |
更新未經審查,可能導致惡意軟體的傳播。 |
僅從可信渠道進行更新可以減少這類風險 |
應用一旦被攻擊,可能影響整個供應鏈 |
Security Logging and Monitoring Failures |
缺乏適當的日誌記錄可能使事件追踪變得困難。 |
強化日誌和監控可提高事件響應能力 |
無法追蹤事件可能導致錯過重要的安全事件 |
Server-Side Request Forgery (SSRF) |
攻擊者通過操控伺服器請求存取未經授權的數據。 |
加強伺服器驗證可避免 SSRF 攻擊 |
一旦伺服器漏洞被利用,後果嚴重 |