[Из песочницы] Краткое введение в безопасность приложений

habralogo.jpg

Комментарии (1)

  • 17 мая 2017 в 01:40

    0

    Что-то я не понял «наезд» на OWASP и других.

    > Ниже приведен мой способ деления уязвимостей по категориям.…
    Мой?!

    > 1. Нарушение в обособлении данных от инструкций

    OWASP TOP10, A1: Injections — «Injection flaws, such as SQL, OS, XXE, and LDAP injection occur when untrusted data is sent to an interpreter as part of a command or query…»

    >2. Логические ошибки в приложении

    OWASP, A7 — Insufficient Attack Protection: «The majority of applications and APIs lack the basic ability to detect, prevent, and respond to both manual and automated attacks. Attack protection goes far beyond basic input validation… »

    >3. Рабочая среда вашего приложения

    OWASP, A5 Security misconfiguration: «Good security requires having a secure configuration defined and deployed for the application, frameworks, application server, web server, database server, platform, etc.»

    > 4. Уязвимость шифрования
    OWASP, A6 — Sensitive Data Exposure: «Many web applications and APIs do not properly protect sensitive data, such as financial, healthcare, and PII.… Sensitive data deserves extra protection such as encryption at rest or in transit, as well as special precautions when exchanged with the browser»

    Стоит сначала почитать Пастернака, прежде, чем осуждать?

© Habrahabr.ru