这是我自己的书中无耻的信息收集练习.
我在社区中提出的一个演讲是对网站漏洞的介绍.通常在谈话中我可以看到至少有两名观众非常苍白;这是基本的东西,跨站点脚本,sql注入,信息泄漏,跨站点表单请求等.
那么,如果你可以回想一个人,作为一个开始的Web开发人员(无论是否是ASP.NET),您认为有关Web安全性以及如何安全开发的有用信息是什么?我已经涵盖了OWASP Top Ten
(是的,这意味着如果有人提出我还没有想到的东西,stackoverflow将会出现在确认列表中!)
这一切都已完成,并已发布,感谢大家的回复
首先,我要指出网络的不安全感,使得人们可以访问那些以安全为中心开发的人(不幸的是)可能是
一个新概念.例如,向他们展示如何
拦截HTTP标头并实施XSS攻击.你想向他们展示攻击的原因是他们自己更好地了解他们正在防御什么.谈论超出这个范围的安全性是很好的,但是如果不了解他们想要阻止的攻击类型,他们就很难准确地“测试”他们的系统以确保安全.一旦他们可以通过试图
拦截消息,欺骗
标题等来测试安全性,那么他们至少知道他们试图实现的安全性是否有效.你可以教他们你想要的任何
方法来自信地实现这种安全性,知道他们是否错了,他们实际上会知道它,因为它会使你向他们展示的安全测试失败.
