条令考试小程序作弊_如何在应用程序安全方面作弊

条令考试小程序作弊

开发人员需要大量知识才能构建安全的应用程序。 其中一部分是好的软件工程以及防御性的设计和编程 -正确使用（安全）API，仔细检查错误和异常，添加诊断和日志记录，并且永远不要信任代码外的任何内容（包括数据和其他人的代码）。 但是，还有很多技术细节，涉及不同体系结构和平台中的安全弱点和漏洞，以及必须了解并必须确保正确处理的特定于技术的风险。 甚至appsec专家也很难跟上所有这些。

OWASP的备忘单就在这里。它们为安全问题，工具和模式以及可以防止或解决这些问题的实际步骤提供了清晰的说明。

如今，有30多个备忘单，涉及从Web应用程序中如何处理身份验证到安全使用HTML5到IOS开发人员在开发安全的移动应用程序时应注意的所有内容。

一些备忘单易于开发人员立即理解和使用。 例如，有关常见安全问题（如SQL注入和CSRF）的备忘单解释了这些漏洞的含义，有效的方法和无法防御的漏洞。 认识人士的简单实用建议。

还存在一些可能会以为您已经了解的基本开发问题和要求的备忘单，这些备忘单看似简单，但需要仔细正确地进行以确保系统安全。 有关如何安全地进行日志记录以及使用参数化查询（准备好的语句）的正确方法以及如何正确实现“ 忘记密码”功能以及会话管理的备忘单 。 确保您阅读了输入验证上的备忘单–要做的事情比您想像的要多得多。

然后是关于更棘手，更棘手的技术问题的备忘单，例如安全的密码存储或为避免XSS而必须做的事情。 XSS是如此丑陋，以至于还有第二张速查表试图用一种简单的方式解释问题和解决方案; 另一个关于基于DOM的XSS预防的备忘单； 以及有关XSS过滤器规避的技术备忘单，以帮助测试XSS漏洞。

OWASP速查表是一些快捷方式，可以直接转到特定问题的说明以及如何解决这些问题，您可以遵循这些清单，而无需要求您了解有关appsec的所有知识。 没关系。 继续作弊。

别忘了分享！

参考： Building Real Software博客上的JCG合作伙伴 Jim Bird提供的有关如何在应用程序安全方面作弊的文章。

翻译自: https://www.javacodegeeks.com/2012/09/how-to-cheat-at-application-security.html

条令考试小程序作弊