安全开发Checklist

最近发现的代码问题比较多，特意整理了下安全方面的文档，

准备挑一些《owasp 开发指南》比较容易出问题的，及开发中常犯的，慢慢整理一份checklist,

安全分类	项目	自检	必选
SQL注入	iBatis中使用的$变量是否都有元数据标识		*
XSS	webx里是否配置了vm模板的自动XSS输出转义		*
	vm模板以外的回显内容是否有显式的输入过滤输出转义		*
	贴图功能是否有防XSS考虑		*
	再次确认没有遗漏的搜索框、评论、AJAX回调等XSS高发区
CSRF	关键业务是否有验证码校验
	授信操作是否都有token校验		*
	贴图功能是否有防CSRF考虑		*
其它	所用的数据库、操作系统账户是否有过高的权限		*
	所用的struts2是否修复了远程命令执行漏洞		*
	上传文件功能是否考虑了安全防范		*
	向导类操作是否都有对前一步骤结果的校验		*
	考虑并解决了表单重复提交漏洞		*
	与第三方合作的接口是否考虑了安全防范		*
	URL跳转是否有白名单限制		*

owasp 开发指南

http://www.owasp.org.cn/owasp-project/download/OWASP_SCP_Quick_Reference_GuideChinese.pdf

OWASP 测试指南

http://pan.baidu.com/share/link?shareid=334105&uk=1060438098

OWASP应用程序安全设计项目

http://www.owasp.org.cn/owasp-project/download/OWASP.pdf