网站编程漏洞清单

Question

看着SO上网对我来说是一种教育.我想制作一份针对网站使用的各种vunerabilities和漏洞利用的清单,以及可以用什么编程技术来防御它们.

• 什么类别的vunerabilities？
  • 崩溃的网站
  • 闯入服务器
  • 打破其他人的登录
  • 垃圾邮件
  • sockpuppeting,meatpuppeting
  • 等等...
• 什么样的防御性编程技巧？
• 等等...

Answer 1

从Open Web Application Security项目:

1. 在OWASP十大安全漏洞(PDF)
2. 有关更详尽的详尽列表:类别:漏洞

前十名是:

1. 跨站脚本(XSS)
2. 注入缺陷(SQL注入,脚本注入)
3. 恶意文件执行
4. 不安全的直接对象引用
5. 跨站请求伪造(XSRF)
6. 信息泄漏和不正确的错误处理
7. 身份验证和会话管理中断
8. 不安全的加密存储
9. 不安全的通信
10. 无法限制URL访问

Answer 2

我认为OWASP信息是一种宝贵的资源.以下可能也会引起关注,特别是攻击模式:

• CERT十大安全编码实践
• 常见攻击模式枚举和分类
• 攻击模式
• 适用于Linux和Unix的安全编程
• 影响安全性的编码错误分类
• 使用静态分析演示进行安全编程