---

name: top-web-vulnerabilities description: "提供按类别组织的 100 个最关键 Web 应用漏洞的全面结构化参考。此技能支持系统化的漏洞识别、影响评估和跨 Web 安全威胁全谱的修复指导。" risk: unknown source: community author: zebbern date_added: "2026-02-27"

Top 100 Web 漏洞参考

目的

提供按类别组织的 100 个最关键 Web 应用漏洞的全面结构化参考。此技能支持系统化的漏洞识别、影响评估和跨 Web 安全威胁全谱的修复指导。内容按 15 个主要漏洞类别组织，与行业标准和真实攻击模式对齐。

前提条件

• 基本了解 Web 应用架构（客户端-服务器模型、HTTP 协议）
• 熟悉常见 Web 技术（HTML、JavaScript、SQL、XML、API）
• 理解认证和授权概念
• 可访问 Web 应用安全测试工具（Burp Suite、OWASP ZAP）
• 建议具备安全编码原则知识

输出和交付物

• 包含定义、根因、影响和缓解措施的完整漏洞目录
• 基于类别的漏洞分组，用于系统化评估
• 安全测试和修复的快速参考
• 漏洞评估检查清单和安全策略的基础

---

核心工作流

阶段 1：注入漏洞评估

评估针对数据处理组件的注入攻击向量：

SQL 注入 (1)

• 定义：将恶意 SQL 代码插入输入字段以操纵数据库查询
• 根因：缺乏输入验证、参数化查询使用不当
• 影响：未授权数据访问、数据篡改、数据库被攻陷
• 缓解：使用参数化查询/预编译语句、输入验证、最小权限数据库账户

跨站脚本 - XSS (2)

• 定义：将恶意脚本注入其他用户查看的网页
• 根因：输出编码不足、缺乏输入净化
• 影响：会话劫持、凭证窃取、网站篡改
• 缓解：输出编码、内容安全策略 (CSP)、输入净化

命令注入 (5, 11)

• 定义：通过存在漏洞的应用执行任意系统命令
• 根因：未净化的用户输入传递给系统 shell
• 影响：完全系统被攻陷、数据外泄、横向移动
• 缓解：避免 shell 执行、白名单有效命令、严格输入验证

XML 注入 (6)、LDAP 注入 (7)、XPath 注入 (8)

• 定义：通过恶意输入操纵 XML/LDAP/XPath 查询
• 根因：查询构造中输入处理不当
• 影响：数据暴露、认证绕过、信息泄露
• 缓解：输入验证、参数化查询、转义特殊字符

服务端模板注入 - SSTI (13)

• 定义：将恶意代码注入模板引擎
• 根因：用户输入直接嵌入模板表达式
• 影响：远程代码执行、服务器被攻陷
• 缓解：沙箱化模板引擎、避免在模板中使用用户输入、严格输入验证

阶段 2：认证和会话安全

评估认证机制弱点：

会话固定 (14)

• 定义：攻击者在认证前设置受害者的会话 ID
• 根因：登录后未重新生成会话 ID
• 影响：会话劫持、未授权账户访问
• 缓解：认证时重新生成会话 ID、使用安全的会话管理

暴力破解攻击 (15)

• 定义：使用自动化工具系统性猜测密码
• 根因：缺乏账户锁定、速率限制或验证码
• 影响：未授权访问、凭证泄露
• 缓解：账户锁定策略、速率限制、MFA、验证码

会话劫持 (16)

• 定义：攻击者窃取或预测有效的会话令牌
• 根因：弱会话令牌生成、不安全传输
• 影响：账户接管、未授权访问
• 缓解：安全随机令牌生成、HTTPS、HttpOnly/Secure cookie 标志

凭证填充和重用 (22)

• 定义：使用泄露的凭证跨服务访问账户
• 根因：用户重复使用密码、无泄露检测
• 影响：大规模账户被攻陷、数据泄露
• 缓解：MFA、泄露密码检查、唯一凭证要求

不安全的"记住我"功能 (85)

• 定义：弱持久认证令牌实现
• 根因：可预测的令牌、过期控制不足
• 影响：未授权持久访问、会话被攻陷
• 缓解：强令牌生成、适当过期、安全存储

验证码绕过 (86)

• 定义：规避验证码保护机制
• 根因：弱验证码实现、缺乏服务端验证
• 影响：自动化攻击、暴力破解、垃圾信息
• 缓解：强验证码服务、服务端验证、速率限制

阶段 3：访问控制和授权

评估授权实施缺陷：

不安全的直接对象引用 - IDOR (3)

• 定义：通过操纵对象引用直接访问未授权资源
• 根因：缺乏适当的授权检查
• 影响：未授权数据访问、数据篡改
• 缓解：实施授权检查、使用间接引用、验证所有权

权限提升 (17)

• 定义：获取超出分配角色的更高权限
• 根因：不当的角色验证、缺乏权限检查
• 影响：管理员访问、完全系统控制
• 缓解：最小权限原则、严格角色验证、权限检查

强制浏览 (18)

• 定义：直接访问未链接但可访问的资源
• 根因：仅依赖 UI 隐藏进行访问控制
• 影响：未授权资源访问、信息泄露
• 缓解：服务端授权、适当的访问控制、URL 验证

阶段 4：数据暴露和加密

评估数据保护机制：

敏感数据暴露 (19)

• 定义：不当保护敏感信息（PII、凭证、财务数据）
• 根因：缺乏加密、不当存储、过度数据暴露
• 影响：身份盗窃、财务损失、合规违规
• 缓解：传输和静态加密、数据最小化、适当的访问控制

不安全的加密存储 (20)

• 定义：使用弱或不当的加密保护存储数据
• 根因：弱算法、不当密钥管理、缺乏加密
• 影响：数据泄露、合规违规
• 缓解：强加密算法、适当密钥管理、定期轮换

阶段 5：配置和部署安全

评估基础设施和配置弱点：

安全配置错误 (21)

• 定义：不当的安全设置、默认配置、不必要的功能
• 根因：缺乏安全加固、默认凭证、过度权限
• 影响：未授权访问、信息泄露、系统被攻陷
• 缓解：安全加固指南、最小化攻击面、定期审计

服务端请求伪造 - SSRF (4)

• 定义：操纵服务器向内部资源发起请求
• 根因：未验证的用户提供 URL、缺乏网络分段
• 影响：内部服务访问、数据外泄、云元数据暴露
• 缓解：URL 验证、网络分段、白名单允许的目标