sir*_*mak 30 java security scala owasp playframework
我正在考虑将Play用于一个大型项目,那么,是否有任何经过实战考验的Play框架适用于OWASP Top 10?您在Play框架中是否存在任何安全问题?
Per*_*ega 41
在OWASP Top 10和Play(这里的一些信息):
A1:注射
默认情况下使用JPA并转义字符串
A2:跨站点脚本(XSS)
从版本1.0.1开始,Play的模板引擎会自动转义字符串
A3:身份验证和会话管理中断
游戏是无国籍的,不涉及任何会话.Cookie受密码保护.通过散列将数据安全地存储在数据库(密码)上取决于用户,而不是框架
A4:不安全的直接对象引用
同样,这取决于开发人员验证对允许资源的访问权限,而不是框架
A5:跨站请求伪造(CSRF)
POST请求允许真实性令牌以防止这种情况发生.当然这取决于开发人员正确使用GET/POST
A6:安全配置错误
默认的错误报告过程在生产中似乎是安全的(没有堆栈跟踪泄漏).唯一的问题是路线中的"全部捕获"条目,但这应该在生产模式中注释掉
A7:不安全的加密存储
开发人员负责加密数据库中的敏感信息
A8:无法限制URL访问
开发人员必须实施安全限制(通过@Before,就像在教程中一样)禁止访问禁止的页面.
A9:传输层保护不足
Play支持SSL
A10:未经验证的重定向和转发
播放重定向是通过302,而不是硬编码字符串,这应该防止这种情况.
TL; DR:在框架可以完成所有工作的部分中,Play会这样做.在开发人员需要完成所有工作的部分中,开发人员需要完成所有工作.每个需要50%的零件,Play给出了50%.
让我们这样说吧:没有理由认为Play比其他任何Java框架更安全.在许多情况下,您可以认为它更安全.Play是一个易于开发,无状态和REST框架,你获得混乱的机会更少.
| 归档时间: |
|
| 查看次数: |
3148 次 |
| 最近记录: |