安全开发Checklist

最新推荐文章于 2022-09-09 10:46:14 发布
最新推荐文章于 2022-09-09 10:46:14 发布
阅读量587 收藏 1
点赞数
文章标签: java 操作系统 数据库
原文链接:https://my.oschina.net/greki/blog/266733
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

最近发现的代码问题比较多,特意整理了下安全方面的文档,

准备挑一些《owasp 开发指南》比较容易出问题的,及开发中常犯的,慢慢整理一份checklist,



安全分类

项目

自检

必选

SQL注入

iBatis中使用的$变量是否都有元数据标识

 

*

XSS

webx里是否配置了vm模板的自动XSS输出转义

 

*

 

vm模板以外的回显内容是否有显式的输入过滤输出转义

 

*

 

贴图功能是否有防XSS考虑

 

*

 

再次确认没有遗漏的搜索框、评论、AJAX回调等XSS高发区

   

CSRF

关键业务是否有验证码校验

   
 

授信操作是否都有token校验

 

*

 

贴图功能是否有防CSRF考虑

 

*

其它

所用的数据库、操作系统账户是否有过高的权限

 

*

 

所用的struts2是否修复了远程命令执行漏洞

 

*

 

上传文件功能是否考虑了安全防范

 

*

 

向导类操作是否都有对前一步骤结果的校验

 

*

 

考虑并解决了表单重复提交漏洞

 

*

 

与第三方合作的接口是否考虑了安全防范

 

*

 

URL跳转是否有白名单限制

 

*



owasp 开发指南

http://www.owasp.org.cn/owasp-project/download/OWASP_SCP_Quick_Reference_GuideChinese.pdf

OWASP 测试指南

http://pan.baidu.com/share/link?shareid=334105&uk=1060438098

OWASP应用程序安全设计项目

http://www.owasp.org.cn/owasp-project/download/OWASP.pdf


转载于:https://my.oschina.net/greki/blog/266733

weixin_34043301
关注
iOS支付知识及调试技巧:【支付流程 & 预授权& 银行卡验证&反洗钱&敏感信息的脱敏规范】2、安全设计Checklist(短信验证码、图形验证码、密码管理、身份验证、会话安全、敏感信息、接口安全
iOS逆向与安全
12-30 1万+
前言 支付流程(多支付方式组合支付、单支付方式:聚合支付、微信、支付宝、银联、记账等) 支付状态 支付 非记账 聚合支付(微信、支付宝、银联):从用户的角度可以分为主动扫商家的收款码和 提供付款码给商家扫一扫 涉及的技术点: 支付状态的查询采用 递归方式的轮询以及消息推送 流程 下单:商户完成订单信息的录入,包括但不限于待付款总金额。手机号码录入,生成订单。平台接受订单后,将订单...
API Security Checklist实现安全稳固的API接口对策清单-python
06-18
本文将深入探讨"API Security Checklist"中的关键安全措施,以确保Python开发的API接口安全稳固。 1. **认证与授权**: - **API密钥**:为每个API用户分配唯一的访问密钥,用于识别和追踪请求来源。 - **OAuth2.0...
金融科技SDL安全设计Checklist
06-29
金融科技SDL安全设计Checklist,可根据改检测表进行整个WEB安全开发进行标准规范!
金融科技SDL 安全设计checklist
04-11
金融科技SDL 安全设计checklist,输入验证,输出编码,异常处理,I/O操作,身份认证,短信验证码,图形验证码
java开发安全_Java 安全开发
weixin_29901515的博客
02-21 459
Java Security Develop1. 拒绝服务 DDOSxml外部实体攻击(阻塞)定义白名单自定义 EntityResolver 接口过滤 systemID文件资源释放:final InputStream in = new FileInputStream(file);try {use (in);} finally {{} in.close();}数据库资源释放connection,sta...
安全测试checklist
专注于性能调优、安全、自动化
05-08 597
1. 不登录系统,直接输入登录后的页面的url是否可以访问  2. 不登录系统,直接输入下载文件的url是否可以下载,如输入http://url/download?name=file是否可以下载文件file  3. 退出登录后按后退按钮能否访问之前的页面  4. ID/密码验证方式中能否使用简单密码。如密码标准为6位以上,字母和数字混合,不能包含ID,连续的字母或数字不能超过n位  5.
安全测试CheckList
专注企业信息安全-sec
12-27 852
权限系统 保证全部资源都使用HTTPS 登出之后销毁会话ID 密码重置后需要销毁所有活跃会话 使用httponly Cookies 密码找回等无需登录的场景下下达到用户认证字符串必须是该场景单独使用的,须确保无法在其他任何场景完成认证 敏感场景,如下但不限于:登录,注册,发表话题等,是否存在验证码,验证码强度是否足够,验证码接口是否安全,若无验证码,是否有频率限制或其他人机验证方式 ...
移动应用APP安全开发要求、安全检测标准-android
03-19
本文根据owasp出具的2016移动应用top10的checklist翻译而来,适用于所有android应用
开发checklist
fwkjdaghappy1的专栏
01-30 1434
1. 代码是否遵守编码规范,是否容易理解。 2. 代码是否模块化,是否合理抽象,是否合理封装。 3. 数据结构和算法是否合理,是否有潜在的性能问题。 4. 是否清楚理解外部依赖的sdk库的使用注意事项,是否有性能问题,是否有资源管理问题。 5. 是否清楚理解外部依赖的接口和网络服务的可靠性和可用性,是否有访问限制,是否有超时控制,外部服务异常对本系统有什么影响,如何解决。 6. 关键逻辑
安全加固-checklist
01-08
信息安全加固的checklist,从绿盟的基线拿出来的,当然有些是错误的、还有些不准确等等,作为参考还是不错的。
SDL-软件安全设计初探
weixin_43047908的博客
12-24 4520
目录前言SDL介绍SDL作用SDL安全活动安全设计核心原则攻击面最小化基本隐私权限最小化默认安全纵深防御威胁建模STRIDE威胁建模方法STRIDE介绍威胁建模流程数据流图识别威胁缓解措施安全验证总结 前言 SDL介绍 安全开发生命周期(SDL)即Security Development Lifecycle,是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。自2004年起,微软将SDL作为全公司的计划和强制政策,SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:需
软件安全性检查checklist
steelzhong的专栏
05-30 2303
代码安全性检验   程序代码安全性 C++/Java安全性列表(Checklist)  JavaScript安全性列表  代码安全性扫描工具必(AppScan)   Web安全性测试  动态跟踪元素属性  检测JavaScript事件   跨站脚本攻击(XSS)   跨站请求伪造攻击(CSRF)  拒绝服务攻击(DoS)  Cookie劫持  输入验证  浏览器安全
Web安全测试-Checklist
weixin_42349891的博客
07-02 1687
Web安全测试时一个比较复杂的过程,软件测试人员可以在其中做一些简单的测试,如下:Web安全测试也应该遵循尽早测试的原则,在进行功能测试的时候(就应该执行下面的测试Checklist安全测试场景),然后在功能测试完成之后、性能测试之前进行扫描测试,可以用工具AppScan,Hp Webinspect,AWS等漏洞扫描工具进行扫描。第一步:比较常用的安全测试Checklist如下:1:不登录系统,直...
安全评审常见的检查项目的Checklist清单
weixin_45190065的博客
06-07 1614
安全评审checklist
亿能测试 发布 《Java常见安全漏洞与代码审查CheckList》 V1.0
软件质量优化
08-23 3614
亿能测试 发布 《Java常见安全漏洞与代码审查CheckList》 V1.0http://automationqa.com/forum.php?mod=viewthread&tid=2810&fromuid=21
常用安全问题设计开发一览
一杯咖啡的渗透记忆
10-30 1021
输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等) 格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开头表示一个参数开关时,可能会导致参数注入漏洞), 建议如果可以禁止JVM执行外部命令,未知漏洞的危害会大大降低,可以大大提高JVM的安全性。...
这份数据安全自查checklist请拿好,帮你补齐安全短板的妙招全在里面!
京东科技开发者
09-09 1642
京东智联云安全拥有业界领先的安全研究团队,经过多年实践与经验积累,京东智联云已面向不同业务场景制定了完善详细的安全配置Checklist。京东智联云安全Checklist可以根据用户的需求进行补充和调整,用户也可以基于该Checklist进行自定义。
【应用安全安全测试checklist
Websec
03-20 1430
1、安全测试checklist 安全测试检查清单 项目名称 xxx 迭代名称 xxx 测试时间   测试人员   测试结果 1、本次测试发现xxx个安全漏洞 ,其中x个高危漏洞、x个中危漏洞,x个低危漏洞。 测试内容 序号 类别 测试项 测试描述 是否通过 1 认证鉴权 登录密码是否加密 检验密码字段在传输过程是否使用不可逆的hash算法 不通过、通过、不适用 2 是
java开发checklist,Java Collections CheckListList()方法与示例
weixin_39928102的博客
03-15 416
集合类checkedList()方法CheckedList()方法在java.lang包中可用。CheckedList()方法用于在运行时返回给定List的类型安全视图。checkedList()方法是一个静态方法,因此可以使用类名进行访问,如果尝试使用类对象访问该方法,则不会收到错误。CheckedList()方法在返回经过验证的List时不会引发异常。语法:publicstaticList...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值