这是根据OWASP ASVS翻译过来的,可作为WEB应用开发的验收标准(未包含具体细节),值得注意的是,验收标准并非越严格越好,应根据企业自身的业务需求判定。 WEB应用安全验证标准 安全验证等级的定义 文档定义了4个级别的安全验证等级,验证的内容和范围会随着验证等级的增加而增加,如果某WEB应用的...
分类:
Web程序 时间:
2014-12-11 20:46:23
阅读次数:
363
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,你可以把它看成一个web漏洞渗透与防御的实验环境,也可以作为各个脚本小子们提高自己入侵能力又不至于被网警惹上麻烦的一个好方法,总之,不管是白帽子还是黑帽子,webgoat都是不二之选。一下是一只菜鸟(博主)搭建webgoat的详...
分类:
Web程序 时间:
2014-11-22 10:25:41
阅读次数:
324
什么是WebGoat?引用一下OWASP官方介绍:WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏..
分类:
Web程序 时间:
2014-11-12 18:07:19
阅读次数:
215
最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。
为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSa...
分类:
其他好文 时间:
2014-11-06 17:27:12
阅读次数:
389
Ajin Abraham(OWASP Xenotix XSS Exploit Framework的作者哦!)编写的《THE ULTIMATEXSSPROTECTION CHEATSHEET FOR DEVELOPERS V1.0》着实不错,把XSS的方方面面都考虑了进去,在此分享给诸位。下载地址
分类:
其他好文 时间:
2014-08-12 13:27:44
阅读次数:
170
? 弱服务器端控件在OWASP排第一的漏洞是“脆弱的服务器端控件”,顾名思义,就是没有以一个安全的方式从移动应用程序向服务器端发送数据,或在发送数据时暴露了一些敏感的API。例如,考虑对一个Android应用程序登录服务器的凭据进行身份验证,而没有对输入进行验证。攻击者可以以这样一种方式修改凭证来获...
分类:
移动开发 时间:
2014-08-07 05:11:05
阅读次数:
284
modesecurity
的特征:https://github.com/SpiderLabs/owasp-modsecurity-crs/tree/master/base_rulessnort的规则:http://cs.uccs.edu/~cs591/ids/snort/snort2_9_0/rul...
分类:
其他好文 时间:
2014-05-26 22:45:06
阅读次数:
248
CSRF在过去的n年(n>2)一直都火,在bh/defcon/owasp等会议上多次探讨CSRF的攻防[具体你可以看看以往的那些pp].前
段时间PLAYHACK.net上发表了一个总结性的pp:Preventing
CSRF,然而CSRF是很难彻底防止的,这个也是我说CSRF卑鄙无耻的一个原因,下...
分类:
其他好文 时间:
2014-05-16 03:44:15
阅读次数:
605
InjectionInjection flaws, such as SQL, OS, and
LDAP injection, occur when untrusted data is sent to an interpreter as part of a
command or query. The ...
分类:
移动开发 时间:
2014-05-10 07:23:51
阅读次数:
460