问题标签 [owasp]

我的任务是开发一个 Web 应用程序，并且正在考虑使用 Struts 框架，因为它似乎是一个标准并且易于实现。

但是，在做出决定之前，我需要了解 Struts 中可用的安全特性。

是否有使用 Struts处理OWASP Top 10的有效方法？如果是这样，我将如何完成它？

我认识的一家公司正在讨论加强其所有 Web 应用程序产品的密码安全策略。

现在，他们正在通过 HTTP 以 POST 形式发送用户名/密码验证，因此，它们是以明文形式发送的。

解决这个问题的最简单方法就是在我们所有的应用程序中都要求使用 HTTPS 登录，对吗？

好吧，有一些内部讨论是关于对密码进行某种滚动我们自己的客户端加密（密码+盐等）。

是否有公认的仅限 HTTP 的解决方案？

意见就像......好吧，每个人都有自己的意见，所以我正在寻找可以支持您的建议的可信安全文献。不要只是谷歌，然后把我发到一篇博客文章……我已经这样做了，而且做得更进一步。

我找到了 OWASP 的建议： http ://www.owasp.org/index.php/Top_10_2007-A7#Protection

以及微软的：http: //msdn.microsoft.com/en-us/library/aa302420.aspx

编辑：给出使用 SSL 的建议是不够​​的。我需要某种支持文件。我知道滚动我们自己的客户端加密是不好的。我需要能够可靠地把它卖给同事和管理层。

此外，还提到了 HTTP Digest。看起来不错，但 Digest 仅用于 HTTP 身份验证，不适用于通过 POST 发送的数据。

有没有人遇到过关于如何在 Ruby 中安全地开发 Web 应用程序的任何好的 Powerpoint 演示文稿？

1. 使用诸如 OWASP 前十名之类的安全编码实践就足够了吗？
2. 我应该使用什么技术来检测篡改？

最近， Aetna 遭受了泄露，丢失了 65,000 个 SSN。他们永远无法找到所发生事件的审计线索，这可能暗示攻击利用了 XSS 或类似技术。

是否有特定的已知攻击被坏人反复利用来进行此类攻击？

对于那些正在开发 PCI 范围内的应用程序的人，指南建议您应该将应用程序日志存储在另一层，远程连接到其他地方的系统日志服务器感觉是最佳实践。

问题变成了，PatternLayout 应该是什么样子才能最好地让人们至少每天查看他们的日志？

在典型的 Java 应用程序中，XML 解析器是 XALAN/XERCES，但它们在编写时并未考虑到安全性。我很想知道在安全性方面是否有更强大的解析器。

什么是相当于 Oracle 的虚拟专用数据库 (VPD) 的 SQL Server？

您会考虑在静态数据类别中使用缓存产品吗？

在 OWASP 网站上，他们的前十项之一指出，我们应该考虑在成功的身份验证或权限级别更改后重新生成一个新会话。

这样做的正确方法是什么？

一位同事告诉我但我没有测试过的一件事是，当用户使用浏览器选项卡时，每个选项卡都没有自己的会话，所以我认为这会否定整个练习。

谢谢，保罗斯佩兰萨