之前我也发过内部的一些关于安全开发检查表截图,后来由于某些原因进行删减操作。
这个安全开发检查表早在2016年下半年就开始有人整理了:
GitHub项目地址:https://github.com/FallibleInc/security-guide-for-developers
它里面也包含到了中文版本:https://github.com/FallibleInc/security-guide-for-developers/blob/master/security-checklist-zh.md
当然了,个人觉得不仅仅在于里面的一些,其实如果做细化还有很多东西写道的。然后他们也对Hackerone公开对漏洞进行了一些统计
Hackerone 公开漏洞统计
目前为止,Hackerone 平台已经发现 1731 个公开的漏洞,主要来自 Twitter、Uber、Dropbox、Github 等公司。其中 8 个已经删除,9 个来自互联网或者特定的语言,剩下的 1714 个中,有 1359 个我们可以通过代码或者人工的方式进行分类。
下面就是哪些漏洞经常出现,它对出现数量是多少?
| 类型 | 数量 | 占比 |
|---|---|---|
| XSS | 375 | 21.87 |
| 非安全引用 + 数据泄露 | 104 | 6.06 |
| CSRF Token | 99 | 5.77 |
| 开放重定向 | 59 | 3.44 |
| 信息/源代码泄露 | 57 | 3.32 |
| DNS 配置错误 + Apache/Nginx + 子域名接管 + Open AWS_S3 | 44 | 2.56 |
| 不正确的 session 管理/固定 | 39 | 2.27 |
| TLS/SSL/POODLE/Heartbleed | 39 | 2.27 |
| HTML/JS/XXE/内容注入 | 37 | 2.15 |
| HTTP 头信息问题 | 34 | 1.98 |
| 空指针 + 段错误 + 在 free() 之后使用内存 | 33 | 1.92 |
| DMARC/DKIM/邮件 SPF 设置 | 31 | 1.8 |
| SQL 注入 | 28 | 1.63 |
| 点击劫持 | 27 | 1.57 |
| 不正确的 cookie 使用 (secure/httpOnly/暴露) | 25 | 1.45 |
| 路径暴露 | 25 | 1.45 |
| 开放权限 | 24 | 1.4 |
| 暴力破解 | 24 | 1.4 |
| 内容欺诈 | 20 | 1.16 |
| 缓冲区溢出 | 20 | 1.16 |
| 拒绝服务 | 19 | 1.1 |
| 服务端请求伪造 | 18 | 1.05 |
| Adobe Flash 漏洞 | 18 | 1.05 |
| 用户/信息 枚举 | 17 | 0.99 |
| 远程代码执行 | 15 | 0.87 |
| 密码重置 token 过期/尝试/其他 | 13 | 0.75 |
| 整型溢出 | 11 | 0.64 |
| 版本泄露 | 11 | 0.64 |
| CSV 注入 | 10 | 0.58 |
| 权限放大 | 9 | 0.52 |
| OAuth 状态/泄露和其他问题 | 9 | 0.52 |
| 密码策略 | 7 | 0.4 |
| CRLF | 7 | 0.4 |
| python 语言 | 6 | 0.35 |
| 单向攻击 | 6 | 0.35 |
| 文件上传类型/大小/存储位置 过滤 | 6 | 0.35 |
| Captcha | 5 | 0.29 |
| 远程/本地 文件包含 | 4 | 0.23 |
| 目录列表 | 4 | 0.23 |
| 路径遍历 | 4 | 0.23 |
| 远程文件上传 | 4 | 0.23 |
| (WEB表单)开启自动填充 | 4 | 0.23 |
| 通过引用泄露 | 3 | 0.17 |
| Pixel Flood Attack | 3 | 0.17 |
| 输入控制字符 | 2 | 0.11 |
同时他们说到,已经防止泄漏超过1500万张信用卡资料,超过4500万用户的个人资料……(balabala)
最后安全与开发,安全与产品别在吵起来了,听我一句劝,能打起来尽量用手解决否则伤了和气!
以上临时工所述
我司一概不负责
本文始发于微信公众号(逢人斗智斗勇):基于Web安全开发检查表
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论