> For the complete documentation index, see [llms.txt](https://hansimov.gitbook.io/hack-skils/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://hansimov.gitbook.io/hack-skils/chang-jian-lou-dong/important-vuls-list.md).

# 重点漏洞列表

## 链接

* OWASP Top Ten Web Application Security Risks
  * <https://owasp.org/www-project-top-ten/>
* CWE - CWE List Version 4.2&#x20;
  * <https://cwe.mitre.org/data/index.html>
* The HackerOne Top 10 Most Impactful and Rewarded Vulnerability Types | HackerOne&#x20;
  * <https://www.hackerone.com/blog/hackerone-top-10-most-impactful-and-rewarded-vulnerability-types>
* Top 10 Most Impactful and Rewarded Vulnerability Types | HackerOne&#x20;
  * <https://www.hackerone.com/top-10-vulnerabilities>

## Hackerone 报告笔记

**关键词：SSRF、XSS、信息泄露、注入**

* 云上安全日益重要：组织争前恐后使用混合的和云上环境，因此 SSRF 将会稳定繁荣；信息泄露仍将常见，始终在赏金漏洞前列。
* 企业看重权限提升、SSRF 和 IDOR：尽管报告的绝对数量并非最多，但是这三者累计赏金最多。
* Hackerone 十大漏洞仅有 4 种在 OWASP Top 10 上：XSS、信息泄露、注入；而在 OWASP 排名第 4 的 XXE 在 Hackerone 排名 15。
* 在 XSS 之上的 企业逻辑错误、代码注入以及更多：XSS 依旧最常见的漏洞类型。不过，一些数量少价格高的漏洞类型，比如企业逻辑错误和代码注入等，表明这些漏洞在多样化的攻击面上的影响。

> 表格：Hackerone 统计的不同漏洞类型的**数量**比例

| 类型 / 领域    | 互联网 & 在线服务 | 计算机软件 | 电信行业 | 媒体 & 娱乐 |
| ---------- | ---------- | ----- | ---- | ------- |
| **XSS**    | 30%        | 29%   | 31%  | 37%     |
| **不恰当的验证** | 18%        | 24%   | 17%  | 18%     |
| **信息泄露**   | 23%        | 18%   | 25%  | 19%     |
| 权限提升       | 5%         | 7%    | 5%   | 4%      |
| SQL 注入     | 3%         | 1%    | 2%   | 3%      |
| 代码注入       | 2%         | 2%    | 3%   | 2%      |
| SSRF       | 1%         | 1%    | 1%   | 1%      |
| IDOR       | 2%         | 2%    | 0%   | 2%      |
| 不恰当的访问控制   | 4%         | 4%    | 3%   | 4%      |
| **CSRF**   | 12%        | 11%   | 14%  | 10%     |
