1.6.1　OWASP Top 10

OWASP（开放Web应用安全项目）是一个公开的组织，为计算机和Internet应用提供公正、现实且具有成本效益的信息。

2020年的Top 10列表如下：

·注入（injection）。

·认证暴破（broken authentication）。

·敏感数据泄露（sensitive data exposure）。

·XML外部实体（XML External Entities，XXE）。

·访问控制暴破（broken access control）。

·错误的安全配置（security misconfiguration）。

·跨站脚本（Cross-Site Scripting，XSS）。

·不安全的反序列化（insecure deserialization）。

·使用含有已知漏洞的组件（using component with known vulnerability）。

·日志记录和监控不足（insufficient logging and monitoring）。