1、跨站腳本（XSS）

　　■問題：XSS漏洞是最普遍和最致命的網絡應用軟件安全漏洞，當一款應用軟件將用戶數據發送到不帶認證或者不對內容進行編碼的網絡瀏覽器時容易發生。黑客可以利用瀏覽器中的惡意腳本獲得用戶的數據，破壞網站，插入有害內容，以及展開釣魚式攻擊和惡意攻擊。

　　■如何保護用戶：利用一個白名單來驗證接到的所有數據，來自白名單之外的數據一律攔截。另外，還可以對所有接收到的數據進行編碼。OWASP說：“驗證機制可以檢測攻擊，編碼則可以防止其他惡意攻擊者在瀏覽器上運行的內容中插入其他腳本。”

　　2、注入漏洞

　　■問題：當用戶提供的數據被作為指令的一部分發送到轉換器（將文本指令轉換成可執行的機器指令）的時候，黑客會欺騙轉換器。攻擊者可以利用注入漏洞創建、讀取、更新或者刪除應用軟件上的任意數據。在最壞的情況下，攻擊者可以利用這些漏洞完全控制應用軟件和底層系統，甚至繞過系統底層的防火墻。

　　■如何保護用戶：盡可能不要使用轉換器。OWASP組織說：“如果你必須使用轉換器，那么，避免遭受注入攻擊的最好方法是使用安全的API，比如參數化指令和對象關系映射庫。”

　　3、惡意文件執行

　　■問題：黑客們可以遠程執行代碼、遠程安裝rootkits工具或者完全攻破一個系統。任何一款接受來自用戶的文件名或者文件的網絡應用軟件都是存在漏洞的。漏洞可能是用PHP語言寫的，PHP是網絡開發過程中應用最普遍的一種腳本語言。

　　■如何保護用戶：不要將用戶提供的任何文件寫入基于服務器的資源，比如鏡像和腳本等。設定防火墻規則，防止外部網站與內部系統之間建立任何新的連接。

　　5、跨站指令偽造

　　■問題：這種攻擊簡單但破壞性強，它可以控制受害人的瀏覽器然后發送惡意指令到網絡應用軟件上。這種網站是很容易被攻擊的，部分原因是因為它們是根據會話cookie或者“自動記憶”功能來授權指令的。各銀行就是潛在的被攻擊目標。

　　■如何保護用戶：不要依賴瀏覽器自動提交的憑證或者標識。OWASP說：“解決這個問題的唯一方法是使用一種瀏覽器不會記住的自定義標識。”