开始翻译:DOM based XSS Prevention Cheat Sheet
发布时间:
2014-06-08 22:34 |
阅读:674641 | 评论:1 |
标签:
xss dom xss
介绍这个备忘单是一个对WEB应用程序执行黑盒测试的任务清单。目的这个清单可以当成有经验的测试老手的备忘录、结合OWASP测试指南一起使用。清单将与测试指南v4一起更新(https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents)。我们希望把这个备忘单做成XML文档,这样就可以使用脚本来将其转换成各种格式,如pdf、Media Wki、HTML等,这样同样使得将文档转换为某种打印格式变得容易。感谢所有给予反馈和帮助的人,如果你有任何意见或建议,欢迎提出并加入到编辑队伍中来。检查列表收集信息手动访问站点使用爬虫来抓取(手工)无法访问或隐藏的内容检查泄露信息的文件,如robots.txt, sitemap.xml, .DS_Stor
发布时间:
2014-04-14 01:03 |
阅读:938547 | 评论:0 |
标签:
安全测试 web应用测试
介绍媒体几乎每天都会报道一些窃取密码的新闻。媒体报道的密码窃取大多数是密码存储方案泄露、存储方案存在漏洞。通常会有大量的凭据遭到破坏,从而影响大量的WEB站点或者其他应用程序。本文提供了一个正确存储密码、密码问题及答案和类似凭据信息的指导。合适的存储方案能防止证书被盗、被泄露和恶意使用。信息系统通过各种保护形式来存储密码和其他凭据。常见的漏洞让窃密者能通过SQL注入等攻击向量来窃取被保护的密码。受保护的密码也有可能被攻击者通过其他形式(如日志、转储和备份文件等)窃取。这份指导会教你如何防止凭据被盗,但是大部分内容是关于防止密钥泄露的。这个指导同样能帮助你设计抵御用户凭据被盗或防止窃密者访问凭据信息的系统。你可以参阅httphttp://goo.gl/Spvzs以获取更多信息。指导不限制字符集和设置最大凭据长度一
发布时间:
2014-03-30 22:23 |
阅读:1349350 | 评论:0 |
标签:
密码存储 密码安全
百度dor加入翻译项目,并翻译此章节简介REST 或 REpresentational State Transfer 是通过URL元素 系统的表达特定的实体 ,REST是一个以架构风格来构建 Web顶层服务而不是一个架构。REST是通过使用简单的URL用基于web系统的交互而不是通过复杂的http请求实体 或者 post 参数 从系统中请求特定的条目。本文是帮助基于REST服务最佳实践的向导(而不是详尽的手册)认证和会话管理RSET风格的Web服务应该(should)使用基于会话的认证,使用通过POST请求 或使用作为 POST 请求体中的参数的API key 或 cookie 来建立的会话 。 用户名(usernames)和密码(passwords) , 会话标识符(session t
发布时间:
2014-03-16 19:54 |
阅读:847486 | 评论:0 |
标签:
rest
介绍这篇文章提供了一个实现静态数据存储时可以遵循的简单模型。架构决策架构决策必须包含适当的保护数据的方法。有很多种类的产品、方法和机制用来进行加密存储。这个备忘单是提供给实现低级别加密解决方案的开发人员和架构师的指导手册。我们不会提供特定供应商的解决方案,也不会做加密算法的设计。提供加密功能安全的加密存储设计规则1:只存储你需要的敏感数据很多电商企业借助第三方支付服务供应商服务来存储用来重复计费的信用卡信息。这就规避了保证信用卡信息安全的麻烦。规则2:只使用强加密算法只使用符合标准的公共加密算法,如AES、 RSA公钥加密算法、SHA-256或更好的散列(Hash)算法。不使用弱加密算法,如MD5或SHA1。需要留意的是,一个加密算法是否属于强加密类别会随着时间而改变(如md5曾一度被认为是安全的加密算法)。h
发布时间:
2014-03-16 19:15 |
阅读:730068 | 评论:0 |
标签:
加密存储 安全存储
介绍本文的重点是为应用安全测试专业人员提供XSS测试指导和帮助。本文一开始是由RSnake捐给OWASP的(原始地址:http://ha.ckers.org/xss.html,目前这个地址已经跳转到本文),我们将继续维护和更新它。最早的备忘单 the XSS (Cross Site Scripting) Prevention Cheat Sheet的灵感就来自RSnake的这篇文章,这值得我们对他表示感谢。我们想创建一些简短的指南来帮助开发者抵御XSS攻击,而非简单的告诉开发人员创建一个能够抵御所有复杂变形的攻击备忘单内所有情况的应用程序,因此诞生了 OWASP Cheat Sheet Series 。测试这个备忘单是为已经有XSS攻击基本知识,想要深入理解XSS绕过细微差别的人准
介绍身份验证是一种验证一个人或实体声明的身份是否正确的过程。身份验证通常是由用户提交用户名或者ID、一个或多个只有给定用户才知道的私人信息来完成。会话管理是一个服务器维护与某个实体的交互状态的过程。服务器需要记住如何在一个事务中响应后续请求。会话由服务器维护,服务器使用一个可以在客户端与服务端传递的会话标示符来做这个工作。每个用户都应该有一个独一无二的会话,并且这个会话非常难以预测(以防被攻击者猜解)。身份认证主要指导方案用户ID确保你的用户名/用户ID是不区分大小写的。许多网站使用email地址作为用户名,email地址正好就是不区分大小写的。如果你不注意这个问题,可能会导致严重的混乱:smith和Smith竟然是不同的用户。适当的密码强度控制使用密码认证时,密码的强度是一个重要的关注点。一个健壮的密码策略使
发布时间:
2013-12-25 21:43 |
阅读:622010 | 评论:0 |
标签:无
介绍这是一份写给iOS应用开发者的文档,旨在为开发安全的苹果的iOS操作系统应用提供一套基本要素。它遵循OWASP Mobile Top 10 Risks 列表.OWASP Mobile Top 10 Risks的补充不安全的数据存储 (M1)毫无疑问,移动设备丢失或被盗是移动设备用户面临的最大的风险。任何捡到或偷盗设备的人都能得到存储在设备上的信息。这很大程度上依赖设备上的应用为存储的数据提供何种保护。苹果的iOS提供了一些机制来保护数据。这些内置的保护措施适合大多数消费级信息。如果要满足更严格的安全需求(如财务数据等),可以在应用程序中内置更好的保护措施。补充一般来说,一个应用程序应该只存储执行其功能所必须的数据。包括旁路数据在内,如系统日志(见M8章节),无论任何形式的敏感数据,都不应该明文存储
发布时间:
2013-11-01 22:30 |
阅读:689618 | 评论:0 |
标签:无