OWASP Top 10

先来看几个出现安全问题的例子

 

 

OWASP TOP10

 

 

开发为什么要知道OWASP TOP10

 

 

TOP1-注入

 

 

TOP1-注入的示例

 

 

TOP1-注入的防范

 

TOP1-使用ESAPI（https://github.com/ESAPI/esapi-java-legacy）

 

 

TOP2-失效的身份认证和会话管理

 

 

TOP2-举例

 

 

TOP3-跨站

 

 

TOP3-防范

 

 

TOP3-复杂的 HTML 代码提交，如何处理？

 

 

TOP4-不安全的对象直接引用

 

 

TOP4-防范

 

 

TOP5-伪造跨站请求（CSRF）

 

 

TOP5-案例

 

 

TOP5-防范

 

 

TOP5-使用ESAPI防范

 

 

 

TOP6-安全误配置

 

 

TOP6-案例

 

 

TOP6-防范

 

 

TOP7-限制URL访问失败（缺少功能级访问控制）

 

 

TOP7-案例

 

 

TOP7-防范

 

 

TOP7-认证与权限设计

 

下面提供1个认证与权限相分离的设计给大家参考。

 

• 认证与权限分成2个服务
• 对于权限来说，业务系统只需要扔给它一个具体的action，该服务就会返回一个yes/no

 

 

 

基于RBAC设计的权限系统（采用了表继承）

 

TOP8-未验证的重定向和转发

 

 

TOP8-案例

 

 

TOP8-测试与防范

 

 

TOP9-应用已知脆弱性的组件

 

 

TOP10-敏感信息暴露

 

 

TOP10-防范

 

 

补充资料-DDOS（分布式拒绝攻击）

 

 

补充资料-DDOS攻击步骤

 

 

如何有效对WEB防护

 

 

WEB安全产品种类

 

 

Web应用防火墙

 

 

初步需要形成的WEB安全整体方案一览

 

 

原文链接：http://blog.csdn.net/lifetragedy/article/details/52573897#comments

 

OWASP（开放式Web应用程序安全项目）近日公布2017 OWASP Top10（十大安全漏洞列表），增加了2个新分类。

本周OWASP公布了2017 OWASP Top10第一波候选名单，与2013年的列表相比，最大的不同点在于新出现的两种漏洞分类：

“不充足的攻击检测与预防”

“未受保护的API”

2017 OWASP Top 10撤掉了“未验证的重定向”这一分类。该分类是在2010年新增的，在2013的列表当中排在第十位。

新分类“不充足的攻击检测与预防”将被放置在第7位。为了给这个分类腾出位置，OWASP想要合并当前的第四项“不安全的直接对象引用”和第七项“函数级访问控制缺失”，将两者归入“失效的访问控制”，而“失效的访问控制”则是2004列表中原有的分类。

以下是OWASP提供的新分类描述：

“不充足的攻击检测与预防”：“大多数应用和API缺乏基本的能力，来检测、预防和响应人工和自动化攻击。攻击防护远不仅限于基本的输入验证，它还包含自动检测、记录、响应甚至阻止利用行为。应用程序所有者还需能快速部署补丁以防止攻击。”

“未受保护的API”：“现代的应用常常涉及富客户端应用程序和API，比如浏览器和移动App中的Java，连接到其他某种API（SOAP/XML、REST/JSON、RPC、GWT等）。这些APT通常未受保护且存在多种漏洞。”