2013-9 OWASP论坛

Broken We Application Project   ------这个PPT需要下载

OWASP BWA----- A Virtual machine---收集 Broken Web App

nno@clipherttechs.com

Hacking-Lib:一个练兵场

包含移动应用

Hacking-Lib的四个细节内容：

1、有漏洞的服务器和应用

2、安全挑战的描述

3、解决挑战的工具

4、教学功能：接收活拒绝解决方案

china.hacking-lib.com

软件安全保障

安全软件开发生命周期（S-SDLC）

需求分析阶段的业务风险评估

设计阶段：安全开发，代码审核

测试阶段：安全测试，渗透测试

部署运维阶段：安全加固、补丁管理、漏洞管理，安全事件响应。

在线支付的PCI政策规定问题

SAMM：软件保证成熟度模型

MS SDL：优化模型

软件安全保障：设计和业务安全

威胁分析是后续安全活动的基础

开发人员比较关心漏洞库

参数控制，隐藏input---objectid

会话固定攻击

OWASP Top10在2013年发布了新版本

Apache shiro框架类似于spring Security

OWASP Sanitizer---for Html或者for json

360网站卫士

exploitDB