1.4 Web 安全基础 1.4 Web 安全基础 1.4.1 HTML 基础 1.4.2 HTTP 协议基础 1.4.3 JavaScript 基础 1.4.4 常见 Web 服务器基础 1.4.5 OWASP Top Ten Project 漏洞基础 1.4.6 PHP 源码审计基础

Implement Secure Data Storage Details Remediation Additional Layered Encryption Android iOS References CWE/OWASP Implement Secure Data Storage Details Storing data sec...

避免缓存应用程序数据 详细描述 建议 参考 CWE/OWASP 避免缓存应用程序数据 详细描述 数据可以在很多地方被捕获，尽管许多是无意的。 开发人员经常忽略一些可以存储数据的方式，包括日志/调试文件，cookie，网络历史记录，网页缓存，属性列表，文件和SQLite数据库。 在移动设备上安全地存储数据需要适当的技术。 只要有可能“简单地...

Avoid Simple Logic Details Remediation CWE/OWASP Avoid Simple Logic Details Simple logic tests in code are more susceptible to attack. Example: if sessionIsTrusted == ...

安全工具 编码工具： 安全检查器/评测器/测试器： 参考： 安全工具 编码工具： DOMPurify XSS 安全检查器/评测器/测试器： Netsparker Websecurify OWASP ZAP 参考： HTML5安全备忘单

实施正确的Web服务器配置 详细描述 建议 CWE/OWASP 实施正确的Web服务器配置 详细描述 Web服务器上的某些设置可以提高安全性。 Web服务器上通常被忽视的漏洞是信息泄露。 信息泄露可能导致严重的问题，因为每一个信息攻击者都可以从服务器获得使攻击更容易。 建议 减少信息泄露的一种简单方法是禁用详细错误。 详细错误在开发环...

谨慎使用content providers 详细描述 建议 CWE/OWASP 谨慎使用content providers 详细描述 Content providers 允许应用程序使用URI寻址方案和关系数据库模型共享数据。 它们也可以用于通过URI方案访问文件。 建议 Content providers 可以声明权限和单独的读写访...

保护针对缓冲区溢出的攻击 详细描述 自动引用计数（ARC） 地址空间布局随机化（ASLR） 堆栈崩溃保护 建议 参考 CWE/OWASP 保护针对缓冲区溢出的攻击 详细描述 这个最佳实践涵盖了三个iOS代码实现，帮助开发人员减轻缓冲区溢出攻击他们的应用程序的风险：自动引用计数（ARC），地址空间布局随机化（ASLR）和堆栈崩溃保护。...

历史 2020 2019 2018 2017 2016 2015 2014 2013 2012 2011 2010 2009 2008 2007 2006 历史 译自：History 2020 一月 1 日 ，发布稳定版本 1.4 （变更集 ，问题列表 ）。 2019 一月 5 日 ，发布稳定版本...

谨慎使用keychain 详细描述 建议 参考 CWE/OWASP 谨慎使用keychain 详细描述 iOS提供了安全数据存储的钥匙串。 然而，在几种情况下，钥匙串可能被泄密并随后被解密。 在iOS的所有版本，包括iOS 7，如果攻击者可以访问加密的iTunes备份，钥匙串可能部分破解。 由于iOS在创建iTunes备份时重新加密钥匙...