安全编码

最新推荐文章于 2024-02-06 15:01:17 发布
最新推荐文章于 2024-02-06 15:01:17 发布
阅读量2.1k 收藏
点赞数 2

安全编码规范基于OWASP Top 10(2010) ------The Ten Most Critical Web Application Security Risks 整理,它们列出如下:

A1.注入(Injection)
A2.跨站脚本(Cross-Site Scripting(XSS))
A3.失效的身份认证和会话管理(Broken Authentication and Session Management)
A4.不安全的直接对象引用(Insecure Direct Object References)
A5.跨站请求伪造(Cross-Site Request Forgery(CSRF))
A6.安全配置错误 (Security Misconfiguration)
A7.不安全的加密存储(Insecure Cryptographic Storage)
A8.URL访问限制缺失(Failure to Restrict URL Access)
A9.没有足够的传输层防护(Insufficient Transport Layer Protection)
A10.未验证的重定向和转发(Unvalidated Redirects and Forwards) 

下面分别针对Top 10各专题进行讨论:

注入攻击

注入攻击主要是SQL注入,这个我们已经了解的比较多了,暂不整理。

XSS攻击

是指恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

有以下开发规范:

  1. 不要从不可信任的源接收javascript脚本,或执行不可信数据。
  2. 对不可信数据进行JavaScript Encode后再传给应用或与可信数据拼接。
  3. 使用document.createElement("..."), element.setAttribute("...","value"), element.appendChild(...)来操作DOM,避免使用HTML渲染方法,如:
    element.innerHTML = "...";
    element.outerHTML = "...";
    document.write(...);
    document.writeln(...);
  4. 不要使用eval()方法把JSON串转换为Javascript原生对象,而是使用:JSON.toJSON()和JSON.parse()。
  5. 对用户的输入进行转义处理(需要转义的字符列表待提供)。
  6. 在Java程序中,如果Runtime.exec执行的命令依赖用户输入参数,则要进行严格的检查。尽量采用别的方式实现此需求。
  7. 避免使用外部输入去生成反射字符串,尽量使用其它方式实现需求功能,如果采用了,则做好输入的验证。
  8. 日志信息依赖用户输入时,在记录日志时,要检查字符串中是否包含一些特殊字符,如:'\n'。
  9. 不可靠来源的数据输出到以下位置时,要做转义处理。
    1) 页面元素内容;
    如:
    <div>...ESCAPE UNTRUSTED DATA BEFORE PUTTING HERE...</div>
    2) HTML通用属性的值;
    3) HTML内javascript数值;
    4) HTML样式属性值;
    5) URL参数;
    例如对一些特殊字符做如下转义:
    & 转义为 &
    < 转换为 <
    > 转换为 > >
    " 转换为 > "
    ' 转换为 '     不建议转为'
    / 转换为 /
    可以使用ESAPI进行转义处理:
    String safe = ESAPI.encoder().encodeForHTML( request.getParameter( "input" ) );
  10. 尽量使用开源社区现成的检验工具对输入参数进行校验,而不是自己重新写一个。如Apache Commons Validator或OWASP ESAPI Validators

XSS相关资料:

http://elegantcode.com/2009/05/28/cross-site-scripting-xss/

http://amix.dk/blog/post/19432

http://stackoverflow.com/questions/6025418/dom-based-xss-attack-and-innerhtml

这里是XSS攻击的示例:http://ha.ckers.org/xss.html

失效的身份认证和会话管理

  1. Session信息要设置超时时间,原则上不要超过一小时;
  2. 防止放入Session的值覆盖已存在的变量;
  3. 不允许在Session中存放大对象,否则容易造成系统堆空间溢出;
  4. 除了登录注销,不允许在代码中修改Session中的用户识别信息,如user_id、user_email等,以及用户操作相关的的内容(可防止用户原始ID被覆盖,避免造成用户信息混乱)。
  5. 对COOKIE 使用Secure标签

相关资料:

http://shiflett.org/articles/the-truth-about-sessions

http://shiflett.org/articles/session-hijacking

http://shiflett.org/articles/session-fixation

相关的:

Session管理:https://216.48.3.18/index.php/Session_Management

Httponly:http://216.48.3.18/index.php/HTTPOnly

和:http://www.codinghorror.com/blog/2008/08/protecting-your-cookies-httponly.html

不安全的直接对象引用

尽量防止用户输入信息对对象的直接引用;

例如,一个下拉列表包含6个授权给当前用户的资源,它可以使用数字1‐6来指示哪个是用户选择的值,而不是使用资源的数据库关键字来表示。在服务器端,应用程序需要将每个用户的间接引用映射到实际的数据库关键字。

跨站请求伪造

要防止跨站请求伪造,需要在每个HTTP请求的body或URL中添加一个随机的令牌。这种令牌至少应该对每个用户会话来说是唯一的,或者也可以对每个请求是唯一的。最好的方法是将独有的令牌包含在一个隐藏字段中,通过HTTPs用POST方式发送,避免其被包含在URL中从而被暴露出来。

安全配置错误

不安全的加密存储

URL访问限制缺失

没有足够的传输层防护

未验证的重定向和转发

M风景
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【Java基础知识 1】Java入门级概述,让阿里架构师告诉你为什么要分库分表
m0_64383736的博客
11-27 8164
1998年12月8日,第二代Java平台的企业版J2EE发布。 1999年4月27日,HotSpot虚拟机发布。 2005年6月,在Java One大会上,Sun公司发布了Java SE 6。此时,Java的各种版本已经更名,已取消其中的数字2,如J2EE更名为JavaEE,J2SE更名为JavaSE,J2ME更名为JavaME。 2009年,甲骨文公司宣布收购Sun。 2014年3月Oracle发布正式版JDK8,JDK8改进比较多,最大的改进是Lambda表达式(以及因之带来的函数式接口,很多原有类都做
【如何进行安全编码
Technology_77的博客
09-15 248
什么是黑客?什么是黑客?这个问题让人值得思考,黑客就是玩玩圈子,录教程收徒玩网恋?赚钱建站玩空间?还是一群技术狂人?或者说是一些行走于。
安全编码实践:什么是安全编码标准?
Trinity_Techologies的博客
04-18 4004
安全编码实践和安全编码标准至关重要,因为高达90%的软件安全问题是由编码错误引起的。 在这里,我们将阐释什么是安全编码标准,哪些是您应该执行的安全编码实践,以及如何实施安全标准。
JAVA安全编码规范
Websec
11-10 7490
Java安全编码规范-1.0.6 by k4n5ha0 Java安全编码规范-1.0.6 by k4n5ha0 编写依据与参考文件: 1.《信息安全技术 应用软件安全编程指南》(国标 GBT38674-2020) 2.《Common Weakness Enumeration》 - 国际通用计算机软件缺陷字典 3.《OWASP Top 10 2017》 - 2017年十大Web 应用程序安全风险 4.《fortify - 代码审计规则》
Java概述
itzzan的博客
08-27 3505
JVM 是一个虚拟的计算机,具有指令集并使用不同的存储区域,负责执行指令、管理数据、内存、寄存器,包含在JDK中对于不同的平台,有不同的虚拟机Java虚拟机机构屏蔽了底层运行平台的差别,实现了“一次编译、到处运行”JDK(Java Development Kit Java开发工具包)JDK = JRE + Java的开发工具(java、javac、javadoc、javap)JDK是提供给Java开发人员使用的,其中包含了Java的开发工具,也包含了 JRE。...
安全编码规范.docx
06-13
安全编码规范 安全编码规范是指在软件开发过程中遵守的一系列规则和-best practice,以确保软件的安全性和可靠性。以下是从安全编码规范中提炼出来的知识点: 输入验证和数据合法性校验 在编写代码时,输入验证和...
Java 安全编码.pdf
03-18
Java 安全编码 Java 安全编码是 Java 开发语言中的一项重要考虑因素。Java 安全编码的主要目标是保护 Web 应用程序免受各种攻击和漏洞的影响。下面是 Java 安全编码的详细知识点: 1. SQL 注入攻击 SQL 注入攻击...
华为c++编码规范&c/c++安全编码规范
04-24
华为c++编码规范和安全编码规范最新3.1版本 华为c++编码规范和安全编码规范最新3.1版本 华为c++编码规范和安全编码规范最新3.1版本 华为c++编码规范和安全编码规范最新3.1版本 华为c++编码规范和安全编码规范最新3.1...
OWASP安全编码规范1
08-03
2012 年 8 月目录序言 3软件安全与风险原则概览 4输入验证: 5输出编码: 5身份验证和密码管理: 6会话管理: 7访问控制: 7加密规范: 8错误处理
App常见漏洞及安全编码规范.pdf
05-09
高危风险:对业务数据(如:用户账号、密码、银行卡密码等等)有窃取风险或者后门;对业务核心代码存在泄露得分析或者后门;严重漏洞 中危风险:对应用代码的不符合安全开发规范,有被第三方利用的风险;对应用内部文件存在数据被读取风险 低危风险:对应用代码有安全隐患,风险低
web安全编码
10-26
web安全编码
Python编程规范.doc
04-15
华为内部使用python编程规范。对个人编程的风格有很好的约束和规范。
通用代码安全编程规范
09-17
从多种开发语言通用的角度描述了安全编程需要注意的安全问题。从架构到细节,比较全面。
Java基础知识总结归纳
qq_31716541的博客
06-08 4514
Java基础知识总结归纳
编码安全规范
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
09-24 2524
编码安全规范目录概 述分析:小结:参考资料和 LD is tigger forever,CG are not brothers forever, throw the pot and shine forever. Modesty is not false, solid is not naive, treacherous but not deceitful, stay with good people, and stay away from poor people. talk is cheap, show
编码安全风险是什么,如何进行有效的防护
最新发布
HoewDec的博客
02-06 1768
2011年6月28日晚20时左右,新浪微博突然爆发XSS,大批用户中招,被XSS攻击的用户点击恶意链接后并自动关注一位名为HELLOSAMY的用户,之后开始自动转发微博和私信好友来继续传播恶意地址。是具有防注入、XSS过滤等功能。5.引入安全编码标准和工具:遵循安全编码标准和最佳实践,使用安全编码工具,如静态代码分析工具、动态分析工具等,自动检测并修复潜在的安全漏洞。防注入:检测SQL关键字、特殊符号、运算符、操作符、注释符的相关组合特征,并进行匹配,全面防护SQL注,如:盲注、报错注入、堆叠注入。
OWASP安全编码实践:快速参考指南
"OWASP安全编码规范快速参考指南中文版Version 1.0" 这篇文档是OWASP(开放网络应用安全项目)发布的安全编码规范,旨在帮助开发者在软件开发过程中集成安全实践,以减少常见的安全漏洞。文档强调了在软件生命周期...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值