安全重要么 网络安全的现实 OWASP TOP10 安全开发所面临的困难 如何兼顾敏捷开发同时还保证安全？ 如何提高人的安全意识？ 总结

在服务安全专场，来自易宝支付信息安全负责人廖威和我们分享了 SDL 相关的内容。第一个是我们企业为什么需要去实施 SDL，第二个是我们之前是如何去实施 SDL，并如何做到精简，形成了一个循环，闭环。 目录 1、为何实施SDL 2、教科书中的SDL 3、SDL实现中的问题 4、如何精简及落地

1. 背景 4 2. 编码安全 4 2.1. 输入验证 4 2.1.1. 概述 5 2.1.2. 白名单 5 2.1.3. 黑名单 5 2.1.4. 规范化 5 2.1.5. 净化 5 2.1.6. 合法性校验 6 2.1.7. 防范SQL注入 6 2.1.8. 文件校验 6 2.1.9. 访问控制 6 2.2. 输出验证 6 2.2.1. 概述 6 2.2.2. 编码场景 6 2.2.3. 净化场景 7 2.3. SQL注入 7 2.3.1. 概述 7 2.3.2. 参数化处理 7 2.3.3. 最小化授权 7 2.3.4. 敏感数据加密 7 2.3.5. 禁止错误回显 8 2.4. XSS跨站 8 2.4.1. 输入校验 8 2.4.2. 输出编码 8 2.5. XML注入 8 2.5.1. 输入校验 8 2.5.2. 输出编码 8 2.6. CSRF跨站请求伪造 8 2.6.1. Token使用 9 2.6.2. 二次验证 9 2.6.3. Referer验证 9 3. 逻辑安全 9 3.1. 身份验证 9 3.1.1. 概述 9 3.1.2. 提交凭证 9 3.1.3. 错误提示 9 3.1.4. 异常处理 10 3.1.5. 二次验证 10 3.1.6. 多因子验证 10 3.2. 短信验证 10 3.2.1. 验证码生成 10 3.2.2. 验证码限制 10 3.2.3. 安全提示 11 3.2.4. 凭证校验 11 3.3. 图灵测试 11 3.3.1. 验证码生成 11 3.3.2. 验证码使用 11 3.3.3. 验证码校验 11 3.4. 密码管理 12 3.4.1. 密码设置 12 3.4.2. 密码存储 12 3.4.3. 密码修改 12 3.4.4. 密码找回 12 3.4.5. 密码使用 12 3.5. 会话安全 13 3.5.1. 防止会话劫持 13 3.5.2. 会话标识符安全 13 3.5.3. Cookie安全设置 13 3.5.4. 防止CSRF攻击 13 3.5.5. 会话有效期 14 3.5.6. 会话注销 14 3.6. 访问控制 14 3.6.1. 跨权访问 14 3.6.2. 控制方法 14 3.6.3. 控制管理 14 3.6.4. 接口管理 15 3.6.5. 权限变更 15 3.7. 文件上传安全 15 3.7.1. 身份校验 15 3.7.2. 合法性校验 15 3.7.3. 存储环境设置 15 3.7.4. 隐藏文件路径 16 3.7.5. 文件访问设置 16 3.8. 接口安全 16 3.8.1. 网络限制 16 3.8.2. 身份认证 16 3.8.3. 完整性校验 16 3.8.4. 合法性校验 16 3.8.5. 可用性要求 17 3.8.6. 异常处理 17 4. 数据安全 17 4.1. 敏感信息 17 4.1.1. 敏感信息传输 17 4.1.2. 客户端保存 17 4.1.3. 服务端保存 17 4.1.4. 敏感信息维护 18 4.1.5. 敏感信息展示 18 4.2. 日志规范 18 4.2.1. 记录原则 18 4.2.2. 事件类型 18 4.2.3. 事件要求 18 4.2.4. 日志保护 19 4.3. 异常处理 19 4.3.1. 容错机制 19 4.3.2. 自定义错误信息 19 4.3.3. 隐藏用户信息 19 4.3.4. 隐藏系统信息 19 4.3.5. 异常状态恢复 20 4.3.6. 通信安全 20

web 应用安全开发资料，很有价值的。

pdf版的网络安全开发包，解决了pdg一张张分开的麻烦。源代码中开始编译运行无法看到效果，本资源提供了修正方案。

通用web安全开发规范简洁版

当前大部分漏洞和攻击都是通过应用层面开始着手的，进而一步步被黑客渗透拿到目标权限、目标数据等。本文旨在提醒和指导，web应用开发中涉及的安全问题，进而减少或避免开发中出现的安全问题，一旦业务出现重大安全问题，无论是对安全部门还是企业形象将受到重要影响。

网络安全开发包详解(含代码)

不管是什么 SDLC 方法，应当把软件安全开发实践在整个过程中进行集成，目的有三个:一是减少发布软件的漏洞数量;二是缓解未检出或 未处置漏洞被利用时的影响;三是找出安全漏洞产生的根本原因加以处置以避免再生。有很多安全方面的考虑可以在 SDLC 的多个阶段实施，但是一般情况下，越早处置安全问题，达到相同的安全水平所需的努力和成本就越低。这个原则被称为“左移(shifting left)”，它非常重要，且 无关于所采用的 SDLC 方法。 SSDF 白皮书没有引入新的实践或定义新的术语，相反，它基于现有的标准、指南和软件安全开发实践文档，描述了一个高级别实践的集合。

本规范用于规范和统一医疗保障信息系统生命周期各阶段（包括：安全需求分析、系统安全设计、系统开发安全、系统安全测试和系统部署上线等阶段）需执行的安全控制及安全任务，明确系统开发的安全控制流程和要求，以加强信息系统的安全性，减少信息系统网络安全漏洞隐患，降低安全风险。 本规范包括信息系统安全需求调研规范、信息系统安全设计规范、信息系统编码开发安全规范、信息系统开发测试安全规范和基础软件安全配置规范。