网络安全面试小知识，在WEB应用中常见的十大安全漏洞主要有哪些？

随着网络的发展，存在的隐患的web应用程序数量也急剧增加，OWASP对此总结了在WEB应用中常见的十大安全漏洞，在WEB应用中常见的十大安全漏洞主要有哪些？

1.UnvalidatedInput非法输入。

一种常见的编程漏洞是数据输入到程序之前，忽略数据合法性检查。OWASP对Web应用程序脆弱性的研究表明，非法输入问题在大多数Web应用程序中是很常见的。

2.无效访问控制BrokenAccessControl。

大多数公司都很关心如何控制已建立的连接，然而，允许特定的字符串输入就能使攻击绕过企业的控制。

3.帐户和线程管理无效的代理协议和会话管理。

拥有好的访问控制并不意味着一切都很好，企业也应该保护用户的密码.会话标记.帐号列表和任何可以给攻击者提供有用的信息.可以帮助他们攻击企业网络的内容。

4.跨站点脚本攻击CrossSiteScriptingFlaws。

如果攻击脚本嵌入到企业的Web页面或其他可访问的Web资源中，那么启动脚本，而不具有保护功能的桌面访问该页或资源时，将启动脚本，这种攻击可能影响到企业内数以百计的雇员。

5.BufferOverflows缓存溢出。

这一问题通常会出现在以前使用的编程语言.像C写的程序中，这种编程错误实际上也是因为没有很好地确定输入内容在内存中的位置所造成的。

6.注入攻击InjectionFlaws。

不能成功阻止具有语法意义的输入内容，就会导致对数据库信息的非法访问，而Web窗体中的输入应该保持简单，而且不应该包含可以执行的代码。

7.异常错误处理ImproperErrorHandling。

出现错误时，通常会向用户提交错误提示，但如果提交的错误提示中包含了过多的内容，攻击者可能会分析网络环境的结构或配置。

8.存储InsecureStorage不安全。

对Web应用程序而言，正确地保存密码.用户名和其它身份验证相关信息是一项重要工作，虽然加密这类信息是一种非常有效的方法，但有些商业机构会使用那些没有经过实际验证的加密解决方案，这里面可能有安全漏洞。

9.程序拒绝服务攻击ApplicationDenialofService。

类似于拒绝服务攻击(DoS)，应用程序的DoS攻击利用了大量非法用户抢夺应用资源，从而使合法用户不能使用它。

10.配置管理InsecureConfigurationManagement不安全。

高效的配置管理流程能够很好地保护Web应用程序和企业网络体系结构。

在WEB应用中常见的十大安全漏洞主要有哪些？关注知了堂成都网络安全培训，带你了解更多网络安全相关问题和更多网络安全相关知识点。