先来看几个出现安全问题的例子

OWASP TOP10

开发为什么要知道OWASP TOP10

TOP1-注入

TOP1-注入的示例

TOP1-注入的防范

TOP1-使用ESAPI（https://github.com/ESAPI/esapi-java-legacy）

TOP2-失效的身份认证和会话管理

TOP2-举例

TOP3-跨站

TOP3-防范

TOP3-复杂的 HTML 代码提交，如何处理？

TOP4-不安全的对象直接引用

TOP4-防范

TOP5-伪造跨站请求（CSRF）

TOP5-案例

TOP5-防范

TOP5-使用ESAPI防范

TOP6-安全误配置

TOP6-案例

TOP6-防范

TOP7-限制URL访问失败（缺少功能级访问控制）

TOP7-案例

TOP7-防范

TOP7-认证与权限设计

下面提供1个认证与权限相分离的设计给大家参考。

• 认证与权限分成2个服务
• 对于权限来说，业务系统只需要扔给它一个具体的action，该服务就会返回一个yes/no

基于RBAC设计的权限系统（采用了表继承）

TOP8-未验证的重定向和转发

TOP8-案例

TOP8-测试与防范

TOP9-应用已知脆弱性的组件

TOP10-敏感信息暴露

TOP10-防范

补充资料-DDOS（分布式拒绝攻击）

补充资料-DDOS攻击步骤

如何有效对WEB防护

WEB安全产品种类

Web应用防火墙

初步需要形成的WEB安全整体方案一览