最有名的消息來源大概就是OWASP了,他每年會列出資安屆最重要的十大弱點,同時本身也有許多專案開發相關工具與教學
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
以下列出一些常見的弱點的術語與原理簡介,有點亂。當然,不可能涵蓋一切,新的攻擊型態不停的在成長,請隨時擴展自己的知識庫
- SQL Injection
- Code injection
- Session管理不當
- XSS
- CSRF
- 組態錯誤
- 資料外洩
- API防禦不足
- API權限
- 不可預見的重新導向
- 使用了有弱點的framework
- 使用虛弱的憑證或未使用加密
- Remote Code Execution - RCE
- Denied of service - DoS
- DDoS
- Directory Traversal
- File Inclusion
- 提權
- 取得資訊
- Buffer/stack overflow
- Heap Overflow
- Use after free
- 錯誤的安全控管
- 本地提權
- Process injection
- DLL Injection
- Dll path hijacking
- UAC Bypass
- Heap Spread