OWASP TOP 10 - 2017学习（一）

先看看OWASP Top 10，2013年和2017年的比较。

OWASP Top 10

A1:2017 注入

常见的注入
“Some of the more common injections are SQL, NoSQL, OS
command, Object Relational Mapping (ORM), LDAP, and
Expression Language (EL) or Object Graph Navigation Library
(OGNL) injection.”
如何防止

1. 使用参数化的SQL

注意：当使用参数化SQL时，存储过程仍然有可能注入。

2. 使用白名单或者输入验证

A2:2017 失效的身份认证

常见的“失效的身份认证”
使用"Password1"、"admin/admin" 等脆弱的密码
登录成功不更新会话ID
如何防止
可能的情况，禁用自动凭证填充
执行弱密码检查
将密码长度、复杂性遵循NIST 800-63 B's guidelines in section 5.1.1 for Memorized Secrets等现代安全策略

A3:2017 敏感数据泄漏

如何防止
确保传输过程被加密，如使用HTTPS、HSTS等
使用密码专用算法存储密码，比如PBKDF2

参考资料

OWASP Top 10 - 2017