Java开发安全实践.pdf

OWASP TOP 10(2013) java 开发安全实践 杭州安恒信息技术有限公司 刘志乐 About Me • 刘志乐（Tony ）  OWASP中国区委员  OWASP中国杭州分会区域负责人  安恒安全服务部总监  浙江省计算机信息系统安全协会安全技术专业委员会副主任  2011年中国计算机网络安全年会演讲嘉宾  2011年OWASP亚洲峰会演讲嘉宾  ISF2011上海演讲嘉宾  2012年OWASP AppSec Asia悉尼峰会演讲嘉宾  2012年第四届中国云计算大会演讲嘉宾  2012年计算机网络安全年会演讲嘉宾  2013年第二届等级保护技术大会演讲嘉宾 目录 • OWASP TOP 10 （2013 ） • 安全开发编程概述 • 利用开源框架提升安全 • OWASP TOP 10 安全实践 OWASP TOP 10 • OWASP TOP 10 – Injection(注入) – Broken Authentication and session Manager （失效的认证和会话管 理） – XSS （跨站脚本） – Insecure Direct Object References （不安全的直接对象引用） – Security Misconfiguration （安全配置错误） – Sensitive Data Exposure （敏感信息泄露） – Missing Function Level Access Control （功能级访问控制缺失） – CSRF （跨站请求伪造） – Using Known Vulnerable Components （使用含有已知漏洞的组件） – Unvalated Redirects and Forwards （未验证的重定向和转发） 目录 • OWASP TOP 10 （2013 ） • 安全开发编程概述 • 利用开源框架提升安全 • OWASP TOP 10 安全实践 安全开发编程概述 • 安全设计 – 在安全设计阶段，特别加入以下两方面的考虑 减少攻击界面。例如，对一个网络软件的设 计，它需要监听那些网络端口，是否可以减 少监听端口的数目？那些用户可以与这些端 口建立连接，是否要加强身份验证？ 深层防御。底层模块的设计中，假设上层模 块有可能出现安全漏洞。对传递的数据考虑 进一步校验 安全开发编程概述 • 安全编程 – 独立、完整且集中的输入验证 创建并使用了独立的用户输入验证模块以完 成对所有用户的输入校验，以此可带来： 统一的输入检测策略 统一的验证逻辑 统一的错误验证处理 降低升级和维护成本 安全开发编程概述 – 校验全部的程序输入 保证所有变量在使用之前都经过严格的校验 ，防止被污染的数据进入程序。 – 校验全部的输入长度 通过限制输入长度，可以有效