OWASP 十大热门威胁

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。——百度百科

美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、美国国防部亦列为最佳实务，国际信用卡资料安全 技术PCI标准更将其列…

网址：
https://www.owasp.org/

第一位: 注入式风险

SQL Inject Me

使用火狐浏览器的SQL Inject Me可以检测所浏览网站是否存在 SQL 注入漏洞。

第二位: 跨站点脚本 (简称XSS)

ZAP公司的产品可以对站点XSS项目进行测试。

第三位: 无效的认证及会话管理功能

如果攻击者发动的是中间人攻击或是通过XSS漏洞获取到会话ID，那么在假设这一过程不可逆的前提下，我们将可以使用火狐的插件HackBar加以应对。

第四位: 对不安全对象的直接引用

即Insecure direct object references，意指一个已授权的用户，通过更改访问时的一个参数，从而访问到了原本其并没有得到授权的对象。
Burp Suite是一个web应用程序集成攻击平台，包含了一系列burp工具，这些工具之间有大量接口可以相互通信。

第五位: 伪造的跨站点请求(简称CSRF)

one click attack或session riding，是一种对网站的恶意利用。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行和难以防范，所以被认为比XSS更具危险性。
Tamper Data运行的同时（火狐工具），可以辅助运行此类攻击。

第六位: 安全配置错误

Watobo

第七位: 加密存储方面的不安全因素

N/A

第八位: 不限制访问者的URL

Nikto/Wikto

第九位: 传输层面的保护力度不足

Calomel

第十位: 未经验证的重新指向及转发

Watcher

参考：
http://netsecurity.51cto.com/art/201103/252558.htm