原文资料链接 https://mp.weixin.qq.com/s/SWW_pkG_c-9kebDDpQkamw
A1. SQL注入
防止注入漏洞需要将不可信数据从命令及查询中区分开。
1.最佳选择是使用安全的API,完全避免使用解释器或提 供参数化界面的API。但要注意有些参数化的API,比 如存储过程(stored procedures),如果使用不当,仍然可以引入注入漏洞。
2.如果没法使用一个参数化的API,那么你应该使用解释器具体的escape语法来避免特殊字符。OWASP的ESAPI 就有一些escape例程。
3.使用正面的或“白名单”的具有恰当的规范化的输入验证方法同样会有助于防止注入攻击。但由于很多应用在输入中需要特殊字符,这一方法不是完整的防护方法。 OWASP的ESAPI中包含一个白名单输入验证例程的扩展库。
* * * * *
A2. 失效的身份认证和会话管理
常见的会话劫持 就是用户的身份凭证没有哈希和加密、会话ID暴露在URL里(例如, URL重写)。
对企业最主要的建议是让开发人员使用如下资源:
1.一套单一的强大的认证和会话管理控制系统。这套控 制系统应:
a) 满足OWASP的应用程序安全验证标准(ASVS) 中V2(认证)和V3(会话管理)中制定的所 有认证和会话管 理的要求。
b) 具有简单的开发界面ESAPI认证器和用户 API 是可以仿照、使用或扩展的好范例。
2. 企业同样也要做出巨大努力来避免跨站漏洞,因为这 一漏洞可以用来盗窃用户会话ID。
* * * * *
A3、跨站脚本 (XSS)攻击
A4、失效的访问控制
注解:1 代码分析工具:http://bobao.360.cn/learning/detail/108.html