先来看几个出现安全问题的例子

OWASP TOP10

开发为什么要知道OWASP TOP10

TOP1-注入

TOP1-注入的示例

TOP1-注入的防范

TOP1-使用ESAPI（https://github.com/ESAPI/esapi-java-legacy）

TOP2-失效的身份认证和会话管理

TOP2-举例

TOP3-跨站

TOP3-防范

TOP3-复杂的 HTML 代码提交，如何处理？

TOP4-不安全的对象直接引用

TOP4-防范

TOP5-伪造跨站请求（CSRF）

TOP5-案例

TOP5-防范

TOP5-使用ESAPI防范

TOP6-安全误配置

TOP6-案例

TOP6-防范

TOP7-限制URL访问失败（缺少功能级访问控制）

TOP7-案例

TOP7-防范

TOP7-认证与权限设计

下面提供1个认证与权限相分离的设计给大家参考。

• 认证与权限分成2个服务
• 对于权限来说，业务系统只需要扔给它一个具体的action，该服务就会返回一个yes/no

基于RBAC设计的权限系统（采用了表继承）

TOP8-未验证的重定向和转发

TOP8-案例

TOP8-测试与防范

TOP9-应用已知脆弱性的组件

TOP10-敏感信息暴露

TOP10-防范

补充资料-DDOS（分布式拒绝攻击）

补充资料-DDOS攻击步骤

如何有效对WEB防护

WEB安全产品种类

Web应用防火墙

初步需要形成的WEB安全整体方案一览

最新文章

1. Tomcat一个BUG造成CLOSE_WAIT
2. SQL 联合查询 + XML解析
3. FineUI小技巧（6）自定义页面回发
4. 64位Win7下编译hadoop 1.2.1问题解决
5. freeCodeCamp:Confirm the Ending
6. Google是如何做代码审查的？
7. plsql programming 18 包
8. 使用SqlBulkCopy批量插入数据
9. QQ的邮我功能
10. ECSHOP中ajax的调用原理
11. S3C2440 时钟设置分析(FCLK, HCLK, PCLK)
12. vue的简单tab
13. redis和spring集成
14. Python实现爬取需要登录的网站完整示例
15. 【mybatis深度历险系列】mybatis中的输入映射和输出映射
16. 闽南师范大学·大英A3复习专题
17. Eamon 埃蒙
18. 解决 Vim 的 quickfix 插件错误信息乱码问题
19. caffe编译报错 cudnn.hpp:127:41: error: too few arguments to function ‘cudnnStatus_t cudnnSetPooling2dDescriptor
20. javaweb环境搭建

热门文章

1. Hive:把一段包含中文的sql脚本粘贴到beeline client运行中文乱码
2. 电力 Web SCADA 工控组态编辑器
3. Java 接口基础详解
4. 【转】C++ Vector（向量容器）
5. [LeetCode] Equal Tree Partition 划分等价树
6. XML 解析默认去掉命名空间和注释
7. [AH/HNOI2017]大佬
8. ●Joyoi 绿豆蛙的归宿
9. poj 2774 最长公共子串 后缀数组
10. hzoj 2301（莫比乌斯反演）