OWASP Top 10十大風險 – 10個最重大的Web應用風險與攻防
阿新 • • 發佈:2019-02-03
先來看幾個出現安全問題的例子
OWASP TOP10
開發為什麼要知道OWASP TOP10
TOP1-注入
TOP1-注入的示例
TOP1-注入的防範
TOP1-使用ESAPI(https://github.com/ESAPI/esapi-java-legacy)
TOP2-失效的身份認證和會話管理
TOP2-舉例
TOP3-跨站
TOP3-防範
TOP3-複雜的 HTML 程式碼提交,如何處理?
TOP4-不安全的物件直接引用
TOP4-防範
TOP5-偽造跨站請求(CSRF)
TOP5-案例
TOP5-防範
TOP5-使用ESAPI防範
TOP6-安全誤配置
TOP6-案例
TOP6-防範
TOP7-限制URL訪問失敗(缺少功能級訪問控制)
TOP7-案例
TOP7-防範
TOP7-認證與許可權設計
下面提供1個認證與許可權相分離的設計給大家參考。
- 認證與許可權分成2個服務
- 對於許可權來說,業務系統只需要扔給它一個具體的action,該服務就會返回一個yes/no
基於RBAC設計的許可權系統(採用了表繼承)