OWASP Top 10十大風險 – 10個最重大的Web應用風險與攻防

先來看幾個出現安全問題的例子

OWASP TOP10

開發爲何要知道OWASP TOP10

TOP1-注入

TOP1-注入的示例

TOP1-注入的防範

TOP1-使用ESAPI（https://github.com/ESAPI/esapi-java-legacy）

TOP2-失效的身份認證和會話管理

TOP2-舉例

TOP3-跨站

TOP3-防範

TOP3-複雜的 HTML 代碼提交，如何處理？

TOP4-不安全的對象直接引用

TOP4-防範

TOP5-僞造跨站請求（CSRF）

TOP5-案例

TOP5-防範

TOP5-使用ESAPI防範

TOP6-安全誤配置

TOP6-案例

TOP6-防範

TOP7-限制URL訪問失敗（缺乏功能級訪問控制）

TOP7-案例

TOP7-防範

TOP7-認證與權限設計

下面提供1個認證與權限相分離的設計給你們參考。

• 認證與權限分紅2個服務
• 對於權限來講，業務系統只須要扔給它一個具體的action，該服務就會返回一個yes/no

基於RBAC設計的權限系統（採用了表繼承）

TOP8-未驗證的重定向和轉發

TOP8-案例

TOP8-測試與防範

TOP9-應用已知脆弱性的組件

TOP10-敏感信息暴露

TOP10-防範

補充資料-DDOS（分佈式拒絕攻擊）

補充資料-DDOS攻擊步驟

如何有效對WEB防禦

WEB安全產品種類

Web應用防火牆

初步須要造成的WEB安全總體方案一覽