介绍Web应用程序安全(ACM学生分会)

Question

我是我校本地ACM学生分会的成员，作为我们活动的一部分，我计划就Web应用程序安全(可能还有安全编码措施)的当前问题发表演讲。讲座将在我们的计算机科学系的学生中进行，并将持续大约一个小时的理论，然后是一个演示/动手模块(大约1小时)。

我想征求你的建议，你认为我应该涵盖哪些主题，以及如何演示其中的一些。我倾向于介绍OWASP的"TOP10 web安全问题列表“，讨论它们，并使用”OWASP构建安全web应用指南“中的资源来提出对策和建议。

对于动手实验室，我正在考虑使用一个有意攻击的应用程序，比如WebGoat或其他相关的应用程序。你的想法是什么？谢谢。

Answer 1

OWASP前10强对于内容来说是一个很好的主意--尽管你可能从我的其他文章中看到，我总是推荐一篇关于业务实用性的文章，所以如果你能把讨论和关于实现和商业风险的信息结合起来，我认为它可以做一个非常强大的演示。

例如，包含关于每一个OWASP前10名的复杂补救是多么有价值的信息(例如，在具有输入验证和输出编码模块的编码框架中，为降低SQL注入攻击风险而进行的代码更改相对简单)。

您可能会认为这可能是技术人员，devs等人的话题之外的话题，但如果他们能够理解业务驱动程序(或阻止程序)进行补救工作，这将对他们有所帮助。

Answer 2

就更多的内容而言，您可以涵盖萨米蜗牛，以及它如何完全避免高温曲奇的问题。需要注意的是，XSS不仅仅是document.cookie和PoC警告框。CSRF变得非常难以预防，但并非不可能。Captcha可以用于预防CSRF，即使存在XSS (深度防御)。事实上，Google使用了这种方法，比如授权youtube和其他地方的帐户断开链接。

XSS有很多不同的类型，基于dom的xss是一个非常奇怪的类型。因此，是的，实际上您可以编写不安全的JavaScript，尽管这通常不是问题所在。(在做XSS演讲时，我经常听到这个问题。)

最近，CSP和来自后xss世界的笔记得到了广泛的关注。在xss问题上，有很多伟大的头脑在工作。在Chrome、IE和火狐的NoScript中发现的抗反射XSS安全功能也很有趣，它们也有缺陷。在哪里IE的XSS滤波器是迄今为止最有缺陷的。

我还告诉开发人员，XSS是一个输出问题.和Model控件中，视图是防止XSS的最佳地方。试图转义输入并将其存储在数据库中是一种可怕的做法。首先，数据格式错误，比较操作可能失败。但更重要的是，当您将数据插入数据库时，您不知道数据将如何使用，通常情况下，您将盲目地使用错误的XSS卫生方法。

开发人员应该知道如何测试他们的代码。有很多免费的解决方案可用。有一个开源的斯基普鱼项目，地点舱口有一个免费的服务。