专栏首页IT技术精选文摘10个最重大的Web应用风险与攻防

10个最重大的Web应用风险与攻防

先来看几个出现安全问题的例子

OWASP TOP10

开发为什么要知道OWASP TOP10

TOP1-注入

TOP1-注入的示例

TOP1-注入的防范

TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)

TOP2-失效的身份认证和会话管理

TOP2-举例

TOP3-跨站

TOP3-防范

TOP3-复杂的 HTML 代码提交,如何处理?

TOP4-不安全的对象直接引用

TOP4-防范

TOP5-伪造跨站请求(CSRF)

TOP5-案例

TOP5-防范

TOP5-使用ESAPI防范

TOP6-安全误配置

TOP6-案例

TOP6-防范

TOP7-限制URL访问失败(缺少功能级访问控制)

TOP7-案例

TOP7-防范

TOP7-认证与权限设计

下面提供1个认证与权限相分离的设计给大家参考。

  • 认证与权限分成2个服务
  • 对于权限来说,业务系统只需要扔给它一个具体的action,该服务就会返回一个yes/no

基于RBAC设计的权限系统(采用了表继承)

TOP8-未验证的重定向和转发

TOP8-案例

TOP8-测试与防范

TOP9-应用已知脆弱性的组件

TOP10-敏感信息暴露

TOP10-防范

补充资料-DDOS(分布式拒绝攻击)

补充资料-DDOS攻击步骤

如何有效对WEB防护

WEB安全产品种类

Web应用防火墙

初步需要形成的WEB安全整体方案一览

(完)

出处:http://blog.csdn.net/lifetragedy/article/details/52573897

版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。谢谢

本文分享自微信公众号 - IT技术精选文摘(ITHK01)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-07-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如何利用配置中心规范构建PaaS服务配置

    在上一篇文章中,我们以MQ和ACM为例,讨论了如何借助配置中心对消息进行限流管理的场景。在本文中,我们继续以该场景为例,讲述如何以规范的配置命名格式来进行限流设...

    用户1263954
  • 高性能配置中心 duic - 设计&实现

    配置(Configuration)对于技术人员来说应该都不陌生,通常配置都是以 key-value 的形式存在于配置文件当中。例如线程池大小、数据库连接、逻辑开...

    用户1263954
  • Kafka消费者架构

    Kafka消费者组 您可以通过用例或功能将消费者组合成消费者组。一个消费者组可能负责将记录传送到高速的、基于内存的微服务,而另一个消费者组将这些记录传输到Ha...

    用户1263954
  • 《RabbitMQ》什么是死信队列

    当消息在一个队列中变成一个死信之后,如果配置了死信队列,它将被重新publish到死信交换机,死信交换机将死信投递到一个队列上,这个队列就是死信队列。

    Java旅途
  • PDF免费在线转换Word、PPT、jpg、Excel!电脑一下省了好几个G空间

    哈喽,各位小伙伴,大家好!橙c偷懒去了,我是小侠。相信很多在互联网的朋友,经常会遇到文件格式转换的难题,是不是“家常便饭”呀。然鹅最烦的莫过于Word和PDF,...

    IT小侠公社
  • 如何利用配置中心规范构建PaaS服务配置

    在上一篇文章中,我们以MQ和ACM为例,讨论了如何借助配置中心对消息进行限流管理的场景。在本文中,我们继续以该场景为例,讲述如何以规范的配置命名格式来进行限流设...

    用户1263954
  • 微信小程序开发详解《一》开发准备,开发工具使用简介,工程目录结构

    一:开发准备 1、 注册微信开发者账号 登录:https://mp.weixin.qq.com/ 进行注册. 目前仅支持企业和组织等非个人注册微信小程序账号,...

    极乐君
  • NEC css规范

    CSS规范 - 分类方法 SS文件的分类和引用顺序 通常,一个项目我们只引用一个CSS,但是对于较大的项目,我们需要把CSS文件进行分类。 我们按照CSS的性质...

    用户1197315
  • Tool之函数引用

    ccc()和ddd()的内部操作还是正常的,但返回值溢出了;而bbb()更不幸,内部处理都乱了,说明入参就已经错了。

    Taishan3721
  • MySQL出现:ERROR 3 (HY000): Error writing file '/tmp/MYbEd05t' (Errcode: 28)

    在执行一个有1000万条记录的MySQL查询语句时,出现了上面的错误。百度折腾了很长时间,终于解决,特此记录。

    Dabelv

扫码关注云+社区

领取腾讯云代金券