owasp

I'm thinking about using Play for a large-scale project, so, has anyone battle-tested Play framework for OWASP Top 10? Are there any security problems you know of in Play framework? On the OWASP Top 10 and Play (some info here ): A1: Injection Uses JPA and escapes strings by default A2: Cross-Site Scripting (XSS) Since version 1.0.1, Play’s template engine automatically escapes string A3: Broken Authentication and Session Management Play is stateless, no session involved. Cookies are protected with cryptography. Storing data safely on the database (passwords) via hashing depends on the user,

应用或服务的安全编码很重要，但若事关处理个人数据的系统，那就不仅仅是重要，而是至关重要了。 软件分析公司CAST分析了1380个软件应用，在代码中发现了惊人的130万个漏洞。 有点网络安全常识的人都知道，软件漏洞就是向网络罪犯敞开的大门。 身份管理可以说是所有技术门类中风险最大的服务 。身份盗窃事件常伴我们左右。咨询公司 Javelin Research 从事身份盗窃事件研究多年，其《2018身份欺诈》报告将2017年身份盗窃统计数据描述为“ 历史新高 ”，揭示身份盗窃继续困扰着这个行业。 身份管理中我们常会谈及所谓**“武器化身份”**的概念，也就是强化系统中的接入点和用户与服务交互的位置。然而，武器化过程需分层实施，而其中一层就是代码层。 身份管理安全编码 数字身份平台可能会非常复杂，因为这些平台往往得依赖外部数据源，并与第三方API集成。消费级身份与访问管理(IAM)甚至更为复杂。这类平台需要扩展功能来上传、存储和共享文档与图片。很多身份服务还融入移动设备App，或者说完全基于移动App。依靠身份生态系统各组件间通信所用协议的固有安全是不够的。此类生态系统的底层代码必须尽可能安全，同时又不能对其功能造成影响。 开发身份平台时可以采用如下几种最佳安全编码实践： 1. 使用良好资源 从安全编码入门经典资源开始。开放网络应用安全计划(OWASP)是安全编码实际上的入门资源

How to pass authentication details to the ZAP tool to scan the website. Please help me to solve the problem. Quite old question but here it goes. The most simple way to do this is setting your browser to Proxy through ZAP. On Firefox you can go to: Options -> Advanced -> Network -> Settings. Select Manual Proxy Configuration and fill the HTTP Host with the address of the machine running ZAP (most probably localhost) and the configured ZAP port. You can check and configure ZAP port opening ZAP and accessing: Tools -> Options -> Local Proxy. Then open your web browser and login to your

Howto add certificate pinning to a NSURLSession in Swift? The OWASP website contains only an example for Objective-C and NSURLConnection. Swift 3 Update: Just define a delegate class for NSURLSessionDelegate and implement the didReceiveChallenge function ( this code is adapted from the objective-c OWASP example ): class NSURLSessionPinningDelegate: NSObject, URLSessionDelegate { func urlSession(_ session: URLSession, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Swift.Void) { // Adapted from OWASP https:/

导读 如今，随着对企业网络的网络攻击变得越来越复杂，很多企业通过投资最新的防火墙、数据和端点保护以及入侵防御技术来提高周边安全性。作为回应，黑客正在走上防范阻力最小的道路，并寻找新的开发途径。许多安全专家认为，下一波的黑客攻击将通过利用应用程序编程接口(API)来实现。 实际上，网络攻击者在计划攻击时已经瞄准了API这个目标。面包店咖啡连锁店Panera Bread公司的数据泄露就是一个很好的例子，该公司在其网站上留下了未经验证的API端点，允许任何人查看客户信息，如用户名、电子邮件地址、电话号码、信用卡的最后四位数字、出生日期等。最终，在8个多月的时间内有3700万客户数据被泄露。这就提出了一个问题：如何最大限度地减少与API相关的不断增长的网络安全风险，而不会妨碍他们在敏捷开发和扩展功能方面提供的好处。 API在应用程序开发中的应用已经成为新的事实标准，开发人员利用从第三方提供的服务集成功能，而不是从头构建所需的全部功能。这为新产品和服务提供了更灵活的开发流程。根据One Poll公司的调查研究，每个企业平均管理363种不同的API，其中这些企业的三分之二以上(69%)将其API向公众和他们的合作伙伴开放。开发人员可以通过搜索诸如API Hound之类的API库来扩充他们的代码，API Hound使用机器扫描程序来查找其50,000多个API，或ProgrammableWeb

The Open Web Application Security Project (OWASP) is a non-profit organization dedicated to providing unbiased, practical information about application security. The OWASP Top 10 Web Application Security Risks was created in 2010, 2013 and 2017 to provide guidance to developers and security professionals on the most critical vulnerabilities that are commonly found in web applications, which are also easy to exploit. These 10 application risks are dangerous because they may allow attackers to plant malware, steal data, or completely take over your computers or web servers. Meeting OWASP