Boa tarde,
Dentro do top 10 riscos da OWASP ouvi falar que existem 3 principais para desenvolvedores na web, alguém me podia dizer quais são. Para mim é importante saber isso porque tenho que estudar esses três principalmente.
Obrigado pela ajuda.
Boa tarde,
Dentro do top 10 riscos da OWASP ouvi falar que existem 3 principais para desenvolvedores na web, alguém me podia dizer quais são. Para mim é importante saber isso porque tenho que estudar esses três principalmente.
Obrigado pela ajuda.
Os primeiros que me vem a mente:
SQLInjection
XSS (cross site scripting)
CSRF (cross site request forgery)
Obrigado pela ajuda
— Fábio 07 de abr de 2015Acho q você pode escolher o que mais faz sentido pra você e sua arquitetura. Veja alguns:
A3: Broken Authentication and Session Management: Funções de aplicação relacionadas à autenticação e gerenciamento de sessão, muitas vezes não são implementadas corretamente, permitindo que atacantes para comprometer senhas, chaves, tokens de sessão, ou explorar outras falhas de implementação para assumir a identidade de outros usuários.
A4: Insecure Direct Object References: "Sem uma verificação de controle de acesso ou outra proteção, os atacantes podem manipular estas referências para acessar dados não autorizada"
A7: Insecure Cryptographic Storage: Os atacantes podem roubar ou modificar esses dados fracamente protegidas para realizar o roubo de identidade, fraude de cartão de crédito, ou outros crimes
Se você usar ORM(hibernate) SQLInjection não faz sentido.
Se você tiver dados como cartão de banco e nenhuma criptografia + salt vão conseguir acessar e roubar tudo. Mas se sua aplicação não tiver cartões de credito e dinheiro...não faz sentido se preocupar muito com isso(só o basico).
Baixa o acunetix, e faz um scan no site.
— Programming 05 de abr de 2015