最新消息:

OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防

WEB安全 Eternal 4625浏览 0评论

先来看几个出现安全问题的例子

OWASP TOP10

开发为什么要知道OWASP TOP10

TOP1-注入

TOP1-注入的示例

TOP1-注入的防范

TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)

TOP2-失效的身份认证和会话管理

TOP2-举例

TOP3-跨站

TOP3-防范

TOP3-复杂的 HTML 代码提交,如何处理?

TOP4-不安全的对象直接引用

TOP4-防范

TOP5-伪造跨站请求(CSRF)

TOP5-案例

TOP5-防范

TOP5-使用ESAPI防范

TOP6-安全误配置

TOP6-案例

TOP6-防范

TOP7-限制URL访问失败(缺少功能级访问控制)

TOP7-案例

TOP7-防范

TOP7-认证与权限设计

下面提供1个认证与权限相分离的设计给大家参考。

认证与权限分成2个服务

对于权限来说,业务系统只需要扔给它一个具体的action,该服务就会返回一个yes/no

基于RBAC设计的权限系统(采用了表继承)

TOP8-未验证的重定向和转发

TOP8-案例

TOP8-测试与防范

TOP9-应用已知脆弱性的组件

TOP10-敏感信息暴露

TOP10-防范

补充资料-DDOS(分布式拒绝攻击)

补充资料-DDOS攻击步骤

如何有效对WEB防护

WEB安全产品种类

Web应用防火墙

初步需要形成的WEB安全整体方案一览

原文地址:http://blog.csdn.net/lifetragedy/article/details/52573897

转载请注明:即刻安全 » OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防

您必须 登录 才能发表评论!



合作伙伴