OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防

先来看几个出现安全问题的例子








OWASP TOP10




开发为什么要知道OWASP TOP10




TOP1-注入




TOP1-注入的示例




TOP1-注入的防范



TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)




TOP2-失效的身份认证和会话管理




TOP2-举例




TOP3-跨站




TOP3-防范




TOP3-复杂的 HTML 代码提交,如何处理?




TOP4-不安全的对象直接引用




TOP4-防范




TOP5-伪造跨站请求(CSRF)




TOP5-案例




TOP5-防范




TOP5-使用ESAPI防范






TOP6-安全误配置




TOP6-案例




TOP6-防范




TOP7-限制URL访问失败(缺少功能级访问控制)




TOP7-案例




TOP7-防范




TOP7-认证与权限设计


下面提供1个认证与权限相分离的设计给大家参考。

  • 认证与权限分成2个服务
  • 对于权限来说,业务系统只需要扔给它一个具体的action,该服务就会返回一个yes/no




基于RBAC设计的权限系统(采用了表继承)



TOP8-未验证的重定向和转发




TOP8-案例




TOP8-测试与防范




TOP9-应用已知脆弱性的组件




TOP10-敏感信息暴露




TOP10-防范




补充资料-DDOS(分布式拒绝攻击)




补充资料-DDOS攻击步骤









如何有效对WEB防护




WEB安全产品种类




Web应用防火墙




初步需要形成的WEB安全整体方案一览





转载于:https://www.cnblogs.com/aiwz/p/6154587.html

你可能感兴趣的:(OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防)