2. 程式人生 > >OWASP Top 10十大風險 – 10個最重大的Web應用風險與攻防

OWASP Top 10十大風險 – 10個最重大的Web應用風險與攻防

阿新 發佈:2019-02-03

先來看幾個出現安全問題的例子






OWASP TOP10


開發為什麼要知道OWASP TOP10


TOP1-注入


TOP1-注入的示例


TOP1-注入的防範


TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)


TOP2-失效的身份認證和會話管理


TOP2-舉例


TOP3-跨站


TOP3-防範


TOP3-複雜的 HTML 程式碼提交,如何處理?


TOP4-不安全的物件直接引用


TOP4-防範


TOP5-偽造跨站請求(CSRF)


TOP5-案例


TOP5-防範


TOP5-使用ESAPI防範



TOP6-安全誤配置


TOP6-案例


TOP6-防範


TOP7-限制URL訪問失敗(缺少功能級訪問控制)


TOP7-案例


TOP7-防範


TOP7-認證與許可權設計

下面提供1個認證與許可權相分離的設計給大家參考。

  • 認證與許可權分成2個服務
  • 對於許可權來說,業務系統只需要扔給它一個具體的action,該服務就會返回一個yes/no


基於RBAC設計的許可權系統(採用了表繼承)


TOP8-未驗證的重定向和轉發


TOP8-案例


TOP8-測試與防範


TOP9-應用已知脆弱性的元件


TOP10-敏感資訊暴露


TOP10-防範


補充資料-DDOS(分散式拒絕攻擊)


補充資料-DDOS攻擊步驟







如何有效對WEB防護


WEB安全產品種類


Web應用防火牆


初步需要形成的WEB安全整體方案一覽


相關推薦

OWASP Top 10風險10重大Web應用風險攻防

先來看幾個出現安全問題的例子OWASP TOP10開發為什麼要知道OWASP TOP10TOP1-注入TOP1-注入的示例TOP1-注入的防範TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)TOP2-失效的身份認

OWASP 2013年Web應用安全漏洞

權威的安全組織OWASP 更新了Top 10:https://www.owasp.org/index.php/Top_10_2013-Top_10十大安全漏洞分別是:1. 注入,包括SQL、作業系統和LDAP注入。2. 有問題的鑑別與會話管理。3. 跨站指令碼攻擊(XSS)。4. 不安全的直接物件引用。5.

排序演算法的實現 經典排序演算法強總結(含JAVA程式碼實現)

十大經典排序演算法最強總結(含JAVA程式碼實現)   最近幾天在研究排序演算法,看了很多部落格,發現網上有的文章中對排序演算法解釋的並不是很透徹,而且有很多程式碼都是錯誤的,例如有的文章中在“桶排序”演算法中對每個桶進行排序直接使用了Collection.sort

經典排序演算法強總結(含JAVA程式碼實現 +演算法Gif動圖)

最近在複習排序演算法,對於演算法自己理解的總是不那麼透徹,所以在網路上搜索到有很多優秀的總結,借前輩們的經驗來灌輸一下自己,也不失為一件有效的學習方法,更有效的學習和記憶,適合自己的都是好方法。這裡總結了十大經典排序演算法,並且有Gif動圖,讓你學習起來一目瞭然,快來一起學

中國數學之

數學史最長的國家中國數學史源遠流長,有4500年左右。早在仰韶文化出土的陶器上即有規則三角形圖案

經典排序演算法強總結

0、排序演算法說明0.1 排序的定義對一序列物件根據某個關鍵字進行排序。0.2 術語說明穩定:如果a原本在b前面,而a=b,排序之後a仍然在b的前面;不穩定:如果a原本在b的前面,而a=b,排序之後a可能會出現在b的後面;內排序:所有排序操作都在記憶體中完成;外排序:由於資料

經典排序演算法強總結(含JAVA程式碼實現)

0、排序演算法說明0.1 排序的定義對一序列物件根據某個關鍵字進行排序。0.2 術語說明穩定:如

適合 Web 和 APP 開發的 NodeJS 框架

快的 數據同步 靈活性 許可 相關信息 mongodb script express ref 在瀏覽器以外運行 JavaScript 對於 JavaScript 愛好者來說非常神奇,同時也肯定是 web 應用程序開發界最受歡迎的進步之一。全球各地的開發者張開雙臂擁抱 Nod

乾貨 | 經典排序演算法強總結(內含程式碼實現)

乾貨 | 十大經典排序演算法最強總結(內含程式碼實現) 一、演算法分類 十種常見排序演算法可以分為兩大類: 比較類排序:通過比較來決定元素間的相對次序,由於其時間複雜度不能突破O(nlogn),因此也稱為非線性時間比較類排序。 非比較類排序:不通過比較來決定元素間的相對次序,它可以突破基於比較排序的時間下界,

經典排序演算法強總結(含Java、Python碼實現)

# 引言 所謂排序,就是使一串記錄,按照其中的某個或某些關鍵字的大小,遞增或遞減的排列起來的操作。排序演算法,就是如何使得記錄按照要求排列的方法。排序演算法在很多領域得到相當地重視,尤其是在大量資料的處理方面。一個優秀的演算法可以節省大量的資源。在各個領域中考慮到資料的各種限制和規範,要得到一個符合實際的優

6jQuery圖表Web應用擴充套件

隨著jQuery、Mootools、prototype等知名的JavaScript框架的應用變的越來越強大,瀏覽器對最新版本CSS屬性的支援,除去頁面中Flash的應用之外,圖表應用變的越來越廣泛實用。本文為你整理了6個實用性強的jQuery圖表外掛,概述了它們各自的功用和優勢。 1、Fl

【J2EE十三規範】Web應用層之JSP和Servlet

【學習概要】     本篇部落格開始將會開始總結J2EE十三個規範的內容,在學習完十三個規範之後,巨集觀梳理了一遍,將其進行歸類和聯絡,十三個規範是什麼是必須要知道的。下面我們就從Web應用層開始。

典型的Top K演算法 _找出一個數組裡面前K個最大數_找出1億浮點數中最大的10000_一個文字檔案,找出前10個經常出現的詞,但這次檔案比較長,說是上億行或億行,總之無法一次讀入記憶體.

        搜尋引擎會通過日誌檔案把使用者每次檢索使用的所有檢索串都記錄下來,每個查詢串的長度為1-255位元組。         假設目前有一千萬個記錄(這些查詢串的重複度比較高,雖然總數是1千萬,但如果除去重複後,不超過3百萬個。一個查詢串的重複度越高,說明查詢

20世紀演算法 The Best of the 20th Century: Editors Name Top 10 Algorithms

at the National Bureau of Standards, initiate the development of Krylov subspace iteration methods.These algorithms address the seemingly simple task of s

OWASP Top 10 2017 10嚴重的 Web 應用程式安全風險

A1:2017-注入 將不受信任的資料作為命令或查詢的一部分發送到解析器時,會產生諸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻擊者的惡意資料可以誘使解析器在沒有適當授權的情況下執行非預期命令或訪問資料。 A2:2017-失效的身份

最新的 OWASP Top 10 ,查“缺”補“漏”必備神器

桌面應用 幾歲 註入攻擊 evel 信息 企業 asp 實踐 註入 2017 年,Equifax 宣布黑客竊取了其 1.45 億條客戶記錄。黑客利用了 Equifax 的 Web 應用程序托管平臺的一個已知安全漏洞。2015 年,英國電信公司 TalkTalk 有 1570

尋找TopN——在10億資料中找到1000的數

目錄 問題描述 如何從10億資料中找到前1000大的數? 解法 針對該問題,給定一個數組data,從中找出前n個最大的數。 解題思路 先維護一個具有n個數的堆,然後調整該堆為小頂堆,即每個父節點都比其子節點小。然後從剩下的陣列中逐一讀取資料,將讀取到的資料跟堆頂比較。如果

Linux命令查找出日誌檔案中訪問量10ip

寫這篇部落格的主要原因就是之前面試的兩家公司都有問到這個問題,所以便著手研究了一下它的解決方法 問題描述:一個日誌檔案裡逐行儲存著 時間 ip 這種形式的日誌,現在需要讓你使用linux命令查找出日誌檔案中訪問量最大的10個ip 怎麼處理? 1.首先建立模擬資料 這裡博主用python寫

PTA練習:小於m的10素數(C語言)

給定一個整數m(50<m<20000),找出小於m的最大的10個素數。 輸入格式: 輸入在一行中給出一個正整數m(50<m<20000)。 輸出格式: 在一行中按遞減順序輸出10個滿足條件的素數,每個素數輸出佔6列。沒有其它任何附加格式和字元。

輸出比1000010質數

public static void main(String[] args) { int j = 0, k; for (int i = 10000;; i++) { for (k = 2; i % k != 0 || k * k < i; k