基于Web安全开发检查表

  • A+
所属分类:安全闲碎

之前我也发过内部的一些关于安全开发检查表截图,后来由于某些原因进行删减操作。


这个安全开发检查表早在2016年下半年就开始有人整理了:


GitHub项目地址:https://github.com/FallibleInc/security-guide-for-developers


它里面也包含到了中文版本:https://github.com/FallibleInc/security-guide-for-developers/blob/master/security-checklist-zh.md


基于Web安全开发检查表

当然了,个人觉得不仅仅在于里面的一些,其实如果做细化还有很多东西写道的。然后他们也对Hackerone公开对漏洞进行了一些统计


Hackerone 公开漏洞统计

目前为止,Hackerone 平台已经发现 1731 个公开的漏洞,主要来自 Twitter、Uber、Dropbox、Github 等公司。其中 8 个已经删除,9 个来自互联网或者特定的语言,剩下的 1714 个中,有 1359 个我们可以通过代码或者人工的方式进行分类。

下面就是哪些漏洞经常出现,它对出现数量是多少?

类型 数量 占比
XSS 375 21.87
非安全引用 + 数据泄露 104 6.06
CSRF Token 99 5.77
开放重定向 59 3.44
信息/源代码泄露 57 3.32
DNS 配置错误 + Apache/Nginx + 子域名接管 + Open AWS_S3 44 2.56
不正确的 session 管理/固定 39 2.27
TLS/SSL/POODLE/Heartbleed 39 2.27
HTML/JS/XXE/内容注入 37 2.15
HTTP 头信息问题 34 1.98
空指针 + 段错误 + 在 free() 之后使用内存 33 1.92
DMARC/DKIM/邮件 SPF 设置 31 1.8
SQL 注入 28 1.63
点击劫持 27 1.57
不正确的 cookie 使用 (secure/httpOnly/暴露) 25 1.45
路径暴露 25 1.45
开放权限 24 1.4
暴力破解 24 1.4
内容欺诈 20 1.16
缓冲区溢出 20 1.16
拒绝服务 19 1.1
服务端请求伪造 18 1.05
Adobe Flash 漏洞 18 1.05
用户/信息 枚举 17 0.99
远程代码执行 15 0.87
密码重置 token 过期/尝试/其他 13 0.75
整型溢出 11 0.64
版本泄露 11 0.64
CSV 注入 10 0.58
权限放大 9 0.52
OAuth 状态/泄露和其他问题 9 0.52
密码策略 7 0.4
CRLF 7 0.4
python 语言 6 0.35
单向攻击 6 0.35
文件上传类型/大小/存储位置 过滤 6 0.35
Captcha 5 0.29
远程/本地 文件包含 4 0.23
目录列表 4 0.23
路径遍历 4 0.23
远程文件上传 4 0.23
(WEB表单)开启自动填充 4 0.23
通过引用泄露 3 0.17
Pixel Flood Attack 3 0.17
输入控制字符 2 0.11

同时他们说到,已经防止泄漏超过1500万张信用卡资料,超过4500万用户的个人资料……(balabala)

基于Web安全开发检查表


最后安全与开发,安全与产品别在吵起来了,听我一句劝,能打起来尽量用手解决否则伤了和气!


以上临时工所述
我司一概不负责


本文始发于微信公众号(逢人斗智斗勇):基于Web安全开发检查表

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: