OWASP安全编码建议_第1页
OWASP安全编码建议_第2页
OWASP安全编码建议_第3页
OWASP安全编码建议_第4页
OWASP安全编码建议_第5页
已阅读5页,还剩22页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

OWASP安全编码 OWASP OWASPOpen 开放的 多人维护的WebApplicationSecurityProject Top10 Webgoat Webscarabetc https www owasp org OWASP Top10 OWASPTop10风险等级计算方法 A1 Injection 原理 数据被当作代码执行方式 SQL注入 命令注入等示例 安全编码 安全API禁止动态拼接 禁止使用系统shellESAPI https www owasp org index php Category OWASP Enterprise Security API参数化查询 https www owasp org index php Query Parameterization Cheat Sheet 安全过滤 编码 白名单过滤https static javadoc io org owasp esapi esapi 2 1 0 1 org owasp esapi Validator htmlgetValidCreditCard getValidDirectoryPath 黑名单过滤元字符Windows A2 BrokenAuthenticationandSessionManagement 原理 与身份认证和会话管理相关的应用程序功能没考虑安全性 导致攻击者破坏密码 密钥等去冒充其他用户的身份方式 密码没有加密或弱加密 存储 传输 ID可猜测ID没有超时限制示例 安全编码 一套单一的强大的认证和会话管理控制系统ASVS标准 https www owasp org images 3 33 OWASP Application Security Verification Standard 3 0 1 pdf简单的认证接口https static javadoc io org owasp esapi esapi 2 1 0 1 org owasp esapi Authenticator html A3 XSS 原理 HTML注入方式 反射 持久 DOM DocumentObjectModel 示例 document locakon http www a 安全编码 根据数据上下文进行适当的转义 NEVERPUTUNTRUSTEDDATAHERE directlyinCSS ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE https www owasp org index php OWASP Java Encoder Project tab Main转义内容参考 https www owasp org index php XSS Cross Site Scripting Prevention Cheat Sheet A4 BrokenAccessControl 原理 在页面中暴露了一个对象的直接引用 比如文件 目录 密钥 仅仅在前台做了功能限制 没有在后台限制和校验 示例 安全编码 使用基于用户的或者会话的间接对象引用https static javadoc io org owasp esapi esapi 2 1 0 1 org owasp esapi AccessReferenceMap html检查访问权限先拒绝所有访问 再放过有效用户 A5 SecurityMisconfiguration 示例 默认账户 密码 目录可访问 方式 OS DB Web服务器 框架攻击危害 信息泄漏 源码泄漏 DoS 安全编码 自动化部署避免手工错误详细清晰的部署和更新流程多做漏洞扫描和审计 A6 SensitiveDataExposure 原理 不安全的传输或存储危害 信息泄漏示例 密码泄漏事件 安全编码 数据加密 内外兼顾 及时清除过期数据密码加密防止硬件破解BCRYPT PBKDF2 SCRYPT敏感数据禁用表单自动填充autocomplete off A7 InsufficientAttackProtection 原理 被动防护示例 暴力破解 恶意扫描危害 攻击者不断尝试后成功入侵 安全编码 攻击检测无效字符 频繁请求 攻击响应阻断请求 IP 账户虚拟补丁WAF A8 CSRF 原理 示例 安全编码 校验Referer隐藏令牌Cookie设置Set Cookie foo 1 SameSite Strict A9 UsingComponentswithKnownVulnerabilities 原理 使用了含有漏洞的web组件示例 CVE 2013 2251ApacheStruts2 0 2 3任意命令执行漏洞http host struts2 blank example X action action 25 new java lang ProcessBuilder new java lang String command goes here start 安全编码 记录所有第三方组件和版本订阅第三方组件安全邮件列表 时刻关注最新的安全信息禁用不使用的功能安全封装组件 A10 UnderprotectedAPIs 原理 API不是用户可见 所以忽视了安全防护示例 RESTAPI SOAP危害 注入 越权 信息泄露 安全编码 安全通信 SSL 安全认证方案解析器安全安全访问控制方案注入防护 OWASPEnterpriseSecurityAPI ESAPI http www owasp org index php Catego
人人文库> 全部分类> 行业资料 > 信息产业

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论