条令考试小程序作弊
OWASP的备忘单就在这里。它们为安全问题,工具和模式以及可以防止或解决这些问题的实际步骤提供了清晰的说明。
如今,有30多个备忘单,涉及从Web应用程序中如何处理身份验证到安全使用HTML5到IOS开发人员在开发安全的移动应用程序时应注意的所有内容。
一些备忘单易于开发人员立即理解和使用。 例如,有关常见安全问题(如SQL注入和CSRF)的备忘单解释了这些漏洞的含义,有效的方法和无法防御的漏洞。 认识人士的简单实用建议。
还存在一些可能会以为您已经了解的基本开发问题和要求的备忘单,这些备忘单看似简单,但需要仔细正确地进行以确保系统安全。 有关如何安全地进行日志记录以及使用参数化查询(准备好的语句)的正确方法以及如何正确实现“ 忘记密码”功能以及会话管理的备忘单 。 确保您阅读了输入验证上的备忘单–要做的事情比您想像的要多得多。
然后是关于更棘手,更棘手的技术问题的备忘单,例如安全的密码存储或为避免XSS而必须做的事情。 XSS是如此丑陋,以至于还有第二张速查表试图用一种简单的方式解释问题和解决方案; 另一个关于基于DOM的XSS预防的备忘单; 以及有关XSS过滤器规避的技术备忘单,以帮助测试XSS漏洞。
OWASP速查表是一些快捷方式,可以直接转到特定问题的说明以及如何解决这些问题,您可以遵循这些清单,而无需要求您了解有关appsec的所有知识。 没关系。 继续作弊。
别忘了分享!
参考: Building Real Software博客上的JCG合作伙伴 Jim Bird提供的有关如何在应用程序安全方面作弊的文章。
翻译自: https://www.javacodegeeks.com/2012/09/how-to-cheat-at-application-security.html
条令考试小程序作弊