OWASP安全编码建议PPT课件

.,1,OWASP安全编码,.,2,OWASP,OWASPOpen：开放的、多人维护的WebApplicationSecurityProject:Top10/Webgoat/Webscarabetc./,.,3,OWASP-Top10,.,4,OWASPTop10风险等级计算方法,.,5,A1-Injection,原理：数据被当作代码执行方式：SQL注入、命令注入等示例：,.,6,安全编码,安全API禁止动态拼接、禁止使用系统shellESAPI:/index.php/Category:OWASP_Enterprise_Security_API参数化查询：/index.php/Query_Parameterization_Cheat_Sheet,.,7,安全过滤/编码,白名单过滤https:/static.javadoc.io/org.owasp.esapi/esapi//org/owasp/esapi/Validator.htmlgetValidCreditCard()getValidDirectoryPath()黑名单过滤元字符Windows：()$#!.”%/:+,.,8,A2-BrokenAuthenticationandSessionManagement,原理：与身份认证和会话管理相关的应用程序功能没考虑安全性，导致攻击者破坏密码、密钥等去冒充其他用户的身份方式：密码没有加密或弱加密（存储/传输）ID可猜测ID没有超时限制示例：,.,9,安全编码,一套单一的强大的认证和会话管理控制系统ASVS标准：/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf简单的认证接口https:/static.javadoc.io/org.owasp.esapi/esapi//org/owasp/esapi/Authenticator.html,.,10,A3-XSS,原理：HTML注入方式：反射/持久/DOM（DocumentObjectModel）示例：document.locakon=http:/www.a,.,11,安全编码,根据数据上下文进行适当的转义/.NEVERPUTUNTRUSTEDDATAHERE.directlyinCSS.ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE./index.php/OWASP_Java_Encoder_Project#tab=Main转义内容参考：/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet,.,12,A4-BrokenAccessControl,原理：在页面中暴露了一个对象的直接引用，比如文件、目录、密钥。仅仅在前台做了功能限制，没有在后台限制和校验。示例,.,13,安全编码,使用基于用户的或者会话的间接对象引用https:/static.javadoc.io/org.owasp.esapi/esapi//org/owasp/esapi/AccessReferenceMap.html检查访问权限先拒绝所有访问，再放过有效用户,.,14,A5-SecurityMisconfiguration,示例：默认账户、密码，目录可访问.方式：OS,DB,Web服务器，框架攻击危害：信息泄漏、源码泄漏、DoS,.,15,安全编码,自动化部署避免手工错误详细清晰的部署和更新流程多做漏洞扫描和审计,.,16,A6-SensitiveDataExposure,原理：不安全的传输或存储危害：信息泄漏示例：密码泄漏事件,.,17,安全编码,数据加密（内外兼顾）及时清除过期数据密码加密防止硬件破解BCRYPT、PBKDF2、SCRYPT敏感数据禁用表单自动填充autocomplete=off,.,18,A7-InsufficientAttackProtection,原理：被动防护示例：暴力破解、恶意扫描危害：攻击者不断尝试后成功入侵,.,19,安全编码,攻击检测无效字符、频繁请求攻击响应阻断请求、IP、账户虚拟补丁WAF,.,20,A8-CSRF,原理：示例：,.,21,安全编码,校验Referer隐藏令牌Cookie设置Set-Cookie:foo=1;SameSite=Strict,.,22,A9-UsingComponentswithKnownVulnerabilities,原理：使用了含有漏洞的web组件示例：CVE-2013-2251ApacheStruts2.0-2.3任意命令执行漏洞http:/host/struts2-blank/example/X.action?action:%25(new+java.lang.ProcessBuilder(new+java.lang.Stringcommand,goes,here).start(),.,23,安全编码,记录所有第三方组件和版本订阅第三方组件安全邮件列表，时刻关注最新的安全信息禁用不使用的功能安全封装组件,.,24,A10-UnderprotectedAPIs,原理：API不是用户可见，所以忽视了安全防护示例：RESTAPI/SOAP危害：注入、越权、信息泄露,.,25,安全编码,安全通信（SSL）安全认证方案解析器安全安全访问控制方案注入防护,.,26,OWASPEnterpriseSecurityAPI(ESAPI),/index.php/Categ