开发安全介绍 - OWASP Top 10.pdf

开发安全-OWASPTop10

#技术/安全

Excerpt

包含:Java基础,Java部分源码,JVM,Spring,SpringBoot,SpringCloud,数据库原理,MySQL,ElasticSearch,

MongoDB,Docker,k8s,CICD,Linux,DevOps,分布式,中间件,开发⼯具,Git,IDE,源码阅读，读书笔记,开源项

⽬...

在学习安全需要总体了解安全趋势和常⻅的Web漏洞，⾸推了解OWASP，因为它代表着业内Web安全漏洞的

趋势。@pdai

开发安全-OWASPTop10

OWASP简介

OWASPTop10:2013版⾄2017版改变了哪些内容

OWASPTop10

A1:2017-注⼊

知识点简介

案例场景

如何防⽌?

A2:2017-失效的身份认证

知识点简介

案例场景

如何防⽌?

A3:2017-敏感数据泄露

知识点简介

案例场景

如何防⽌?

A4:2017-XML外部实体（XXE）

知识点简介

案例场景

如何防⽌?

A5:2017-失效的访问控制

知识点简介

案例场景

如何防⽌?

A6:2017–安全配置错误

知识点简介

案例场景

如何防⽌?

A7:2017–跨站脚本（XSS）

知识点简介

案例场景

如何防⽌?

A8:2017–不安全的反序列化

知识点简介

案例场景

如何防⽌?

A9:2017–使⽤含有已知漏洞的组件

知识点简介

案例场景

如何防⽌?

A10:2017–不⾜的⽇志记录和监控

知识点简介

案例场景

如何防⽌?

⼲系⼈如何做

开发⼈员下⼀步做什么?

安全测试⼈员下⼀步做什么?

企业组织下⼀步做什么?

应⽤程序管理者下⼀步做什么?

⻛险因素总结

OWASP简介

OWASP（开放式web应⽤程序安全项⽬）关注web应⽤程序的安全。OWASP这个项⽬最有名的，也许就是它的⼗⼤

安全隐患列表。这个列表不但总结了web应⽤程序最可能、最常⻅、最危险的⼗⼤安全隐患，还包括了如何消除

这些隐患的建议。（另外，OWASP还有⼀些辅助项⽬和指南来帮助IT公司和开发团队来规范应⽤程序开发流程和测

试流程，提⾼web产品的安全性。）这个⼗⼤差不多每隔三年更新⼀次。

本⽂总结⾃：-2017-10项最严重的Web应⽤程序安全⻛险

OWASPTop10:2013版⾄2017版改变了哪些内容

在过去的⼏年中，应⽤程序的基础技术和结构发⽣了重⼤变化：

使⽤node.js和SpringBoot构建的微服务正在取代传统的单任务应⽤，微服务本身具有⾃⼰的安全挑战，包括

微服务间互信、容器⼯具、保密管理等等。原来没⼈期望代码要实现基于互联⽹的房屋，⽽现在这些代码就

在API或RESTful服务的后⾯，提供给移动应⽤或单⻚应⽤（SPA）的⼤量使⽤。代码构建时的假设，如受信任

的调⽤等等，再也不存在了。

使⽤JavaScript框架（如：Angular和React）编写的单⻚应⽤程序，允许创建⾼度模块化的前端⽤户体验；原

来交付服务器端处理的功能现在变为由客户端处理，但也带来了安全挑战。

JavaScript成为⽹⻚上最基本的语⾔。Node.js运⾏在服务器端，采⽤现代⽹⻚框架的Bootstrap、Electron、

Angular和React则运⾏在客户端。

OWASPTop10

A1:2017-注⼊

将不受信任的数据作为命令或查询的⼀部分发送到解析器时，会产⽣诸如SQL注⼊、NoSQL注