WooYun: 虾米网SQL注入，1400万用户数据，各种交易数据，主站数据，均可拖，紧急!!

作为一个可以直接影响到核心数据的经典漏洞，至今仍然频繁出现在人们的视野中。

A7-XSS跨站脚本攻击/CSRF

属于代码注入的一种，XSS发生在当应用程序获得不可信的数据并发送到浏览器或支持用户端脚本语言容器时，没有做适当的校验或转义。XSS能让攻击者在受害者的浏览器上执行脚本行，从而实现劫持用户会话、破坏网站Dom结构或者将受害者重定向到恶意网站。经典案例：

WooYun: 一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 -(埋雷式攻击附带视频演示)

XSS攻击最希望达到：隐蔽，长期控制，此漏洞都达到了。

A8-未授权访问/权限绕过

多数业务系统应用程序仅仅只在用户客户端校验授权信息，或者干脆不做访问控制规则限制，如果服务端对来自客户端的请求未做完整性检查，攻击者将能够伪造请求，访问未被授权使用的功能。经典案例：

WooYun: 搜狗某重要后台未授权访问(涉及重要功能及统计信息)

重要功能的后台一定要安全。

A9-账户体系控制不严/越权操作

与认证和会话管理相关的应用程序功能常常会被攻击者利用，攻击者通过组建的社会工程数据库，检索用户密码，或者通过信息泄露获得的密钥、会话token、GSID和利用其它信息来绕过授权控制访问不属于自己的数据。如果服务端未对来自客户端的请求进行身份属主校验，攻击者可通过伪造请求，越权窃取所有业务系统的数据。经典案例：

WooYun: 乐视网2200万用户任意用户登录

越权登陆任意用户。

A10-内部重要资料/文档外泄

无论是企业还是个人，越来越依赖于对电子设备的存储、处理和传输信息的能力。企业重要的数据信息，都以文件的形式存储在电子设备或数据中心上，企业雇员或程序员为了办公便利，常常将涉密数据拷贝至移动存储介质或上传至网络，一旦信息外泄，将直接加重企业安全隐患发生的概率。经典案例：

WooYun: 淘宝敏感信息泄漏可进入某重要后台(使用大量敏感功能和控制内部服务器)