开发人员需要大量知识才能构建安全的应用程序。 其中一部分是好的软件工程以及防御性的设计和编程 -正确使用(安全)API,仔细检查错误和异常,添加诊断和日志记录,并且永远不要信任代码外的任何内容(包括数据和其他人的代码)。 但是,还有很多技术细节,涉及不同体系结构和平台中的安全弱点和漏洞,以及必须了解并必须确保正确处理的特定于技术的风险。 甚至appsec专家也很难跟上所有这些。
这就是OWASP的备忘单所在的地方。它们为安全问题,工具和模式以及可以防止或解决这些问题的实际步骤提供了清晰的解释。
如今,有30多个备忘单,涉及从Web应用程序中如何处理身份验证到安全使用HTML5到IOS开发人员在开发安全的移动应用程序时应注意的所有内容。
一些备忘单易于开发人员立即理解和使用。 例如,有关常见安全问题(如SQL注入和CSRF)的备忘单解释了这些漏洞的含义,有效的方法以及无法加以保护的内容。 认识人士的简单实用建议。
还存在一些可能使您以为已经了解的基本开发问题和要求的备忘单,这些备忘单看似简单,但需要仔细正确地进行以确保系统安全。 关于如何安全地进行日志记录以及使用参数化查询(准备好的语句)的正确方法以及如何正确实现“ 忘记密码”功能以及会话管理的备忘单 。 确保您阅读了输入验证上的备忘单–要做的事情比您想像的要多得多。
然后是关于更棘手,更棘手的技术问题的备忘单,例如安全的密码存储或为避免XSS而必须做的事情。 XSS是如此丑陋以至于还有第二张速查表试图以一种简单的方式解释问题和解决方案; 另一个关于基于DOM的XSS预防的备忘单; 以及有关XSS过滤器规避的技术备忘单,以帮助测试XSS漏洞。
OWASP速查表是一些快捷方式,可直接带您解释特定问题以及如何解决这些问题,您可以遵循这些清单,而无需要求您了解有关appsec的所有知识。 没关系。 继续作弊。
别忘了分享!
参考: Building Real Software博客上的JCG合作伙伴 Jim Bird在Application Security上的作弊方法 。
翻译自: https://www.javacodegeeks.com/2012/09/how-to-cheat-at-application-security.html
文章知识点与官方知识档案匹配,可进一步学习相关知识Java技能树使用JDBC操作数据库数据库操作91609 人正在系统学习中 相关资源:轮盘赌算法matlab程序及介绍-Matlab文档类资源-CSDN文库
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!