ANTICHAT Forum
HOME FORUMS MEMBERS RECENT POSTS LOG IN  
НОВЫЕ ТОРГОВАЯ НОВОСТИ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Веб-уязвимости
   
 
 
Опции темы Поиск в этой теме Опции просмотра

OWASP Top 10 — что за зверь и как не спалиться новичку
  #1  
Старый Сегодня, 13:30
gogo437
Новичок
Регистрация: 20.02.2013
Сообщений: 10
С нами: 6960566

Репутация: 0
По умолчанию OWASP Top 10 — что за зверь и как не спалиться новичку

Короче, у всех, кто хоть как-то шарит в веб-безопасности, на слуху OWASP Top 10 — список самых страшных уязвимостей в приложениях. Но зачем он новичку? Да просто — чтобы не напороться на них с руками и головой и примерно понимать, как с этим жить.

Например, SQL-инъекции и XSS многие уже слышали. Проверять их можно через простые вещи: фильтрация входных данных и кодирование вывода. Если не проконтролить эти моменты, сайт может стать раздевалкой для чужих данных и местом для запуска вредоносного кода. Аналогично с проблемами аутентификации — если пароль проверять криво, либо сессии слабо защищать, атаки будут в два счета.

Что реально помогает новичку — взять этот топ и по каждой уязвимости сделать чек-лист: что проверить, почему это опасно, что подтянуть в коде, какие проверки на сервере внедрить. Важно не просто прочитать названия, а понять логику: почему именно так делают и какие баги это закрывает.

Проблема в том, что куча способов защиты пересекается: где-то надо фильтровать вход, где-то ставить заголовки безопасности, где-то ограничивать права доступа. Для новичка лучше не пытаться сразу все поломать, а по шагам — сначала уязвимости, которые проще покрыть и чаще встречаются. Например, с XSS и CSRF проще начать, они прямые и понятные.

Вроде бы все понятно, но на практике часто при проверках забывают смотреть логику бизнес-процессов и как сайт взаимодействует с данными. OWASP — не просто тех. список, а ещё и повод задуматься о том, какие ошибки закладываем при проектировании.

Кто как учил или проверял свой код по OWASP? Есть какие-то лайфхаки для новичков?
 
Ответить с цитированием
 



Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.