．OWASP是什麼？
OWASP是一個非營利組織，專門推廣Web資安，他們最大的貢獻之一就是整理出「Web應用程式最常見的十大弱點」，也可以想成是網站開發者必須知道的資安清單。

．為什麼要知道TOP 10？
網站或應用程式會面對各種攻擊，如果沒有做好防護，駭客就能利用這些弱點，這些TOP 10就像常見考題清單，讓開發者、測試者、資安人員知道需要特別注意什麼，而技術和手法在進步，這些內容每隔幾年就會更新一次。

．2021 年 OWASP Top 10 清單（最新版本）

1. Broken Access Control（存取控制失效）
   - 使用者可以存取本來不該看到的資料。
2. Cryptographic Failures（密碼學失效）
   - 沒有正確加密，資料傳輸容易被竊取。
3. Injection（注入攻擊，例如SQL Injection）
   - 駭客輸入惡意語法，竊取或修改資料。
4. Insecure Design（不安全的設計）
   - 系統架構一開始就沒考慮資安。
5. Security Misconfiguration（安全設定錯誤）
   - 預設密碼沒改、防火牆沒開、權限設錯。
6. Vulnerable and Outdated Components（使用有漏洞或過期的元件）
   - 第三方套件沒更新，駭客利用舊漏洞入侵。
7. Identification and Authentication Failures（身分認證失效）
   - 登入系統設計不安全，帳號容易被盜。
8. Software and Data Integrity Failures（軟體與資料完整性失效）
   - 程式更新來源不明，被植入惡意程式。
9. Security Logging and Monitoring Failures（紀錄與監控不足）
   - 系統遭攻擊卻沒有紀錄，事後也查不出來。
10. Server-Side Request Forgery(SSRF)（伺服器端請求偽造）
    - 駭客讓伺服器幫他發惡意請求，進一步攻擊內部系統。