• OWASP Top 10


    先来看几个出现安全问题的例子

    OWASP TOP10

    开发为什么要知道OWASP TOP10

    TOP1-注入

    TOP1-注入的示例

    TOP1-注入的防范

    TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)

    TOP2-失效的身份认证和会话管理

    TOP2-举例

    TOP3-跨站

    TOP3-防范

    TOP3-复杂的 HTML 代码提交,如何处理?

    TOP4-不安全的对象直接引用

    TOP4-防范

    TOP5-伪造跨站请求(CSRF)

    TOP5-案例

    TOP5-防范

    TOP5-使用ESAPI防范

    TOP6-安全误配置

    TOP6-案例

    TOP6-防范

    TOP7-限制URL访问失败(缺少功能级访问控制)

    TOP7-案例

    TOP7-防范

    TOP7-认证与权限设计

    下面提供1个认证与权限相分离的设计给大家参考。

    • 认证与权限分成2个服务
    • 对于权限来说,业务系统只需要扔给它一个具体的action,该服务就会返回一个yes/no

    基于RBAC设计的权限系统(采用了表继承)

    TOP8-未验证的重定向和转发

    TOP8-案例

    TOP8-测试与防范

    TOP9-应用已知脆弱性的组件

    TOP10-敏感信息暴露

    TOP10-防范

    补充资料-DDOS(分布式拒绝攻击)

    补充资料-DDOS攻击步骤

    如何有效对WEB防护

    WEB安全产品种类

    Web应用防火墙

    初步需要形成的WEB安全整体方案一览

    原文链接:http://blog.csdn.net/lifetragedy/article/details/52573897#comments

    OWASP(开放式Web应用程序安全项目)近日公布2017 OWASP Top10(十大安全漏洞列表),增加了2个新分类。

    本周OWASP公布了2017 OWASP Top10第一波候选名单,与2013年的列表相比,最大的不同点在于新出现的两种漏洞分类:

    “不充足的攻击检测与预防”

    “未受保护的API”

    2017 OWASP Top 10撤掉了“未验证的重定向”这一分类。该分类是在2010年新增的,在2013的列表当中排在第十位。

    新分类“不充足的攻击检测与预防”将被放置在第7位。为了给这个分类腾出位置,OWASP想要合并当前的第四项“不安全的直接对象引用”和第七项“函数级访问控制缺失”,将两者归入“失效的访问控制”,而“失效的访问控制”则是2004列表中原有的分类。

    以下是OWASP提供的新分类描述:

    “不充足的攻击检测与预防”:“大多数应用和API缺乏基本的能力,来检测、预防和响应人工和自动化攻击。攻击防护远不仅限于基本的输入验证,它还包含自动检测、记录、响应甚至阻止利用行为。应用程序所有者还需能快速部署补丁以防止攻击。”

    “未受保护的API”:“现代的应用常常涉及富客户端应用程序和API,比如浏览器和移动App中的Java,连接到其他某种API(SOAP/XML、REST/JSON、RPC、GWT等)。这些APT通常未受保护且存在多种漏洞。”

  • 相关阅读:
    Android 进程生命周期 Process Lifecycle
    .NET Core微服务之基于IdentityServer建立授权与验证服务(续)
    .NET Core微服务之基于IdentityServer建立授权与验证服务
    .NET Core微服务之基于Ocelot实现API网关服务(续)
    .NET Core微服务之基于Ocelot实现API网关服务
    .NET Core微服务之基于Polly+AspectCore实现熔断与降级机制
    .NET Core微服务之基于Consul实现服务治理(续)
    .NET Core微服务之基于Consul实现服务治理
    一朝入梦,终生不醒:再看红楼梦,也谈石头记
    月光下的凤尾竹—彩云之南西双版纳游记
  • 原文地址:https://www.cnblogs.com/zjdeblog/p/7262929.html
Copyright © 2020-2023  润新知