阿里巴巴集团Web安全标准 Ver1.4

目录

第一章 页面展示 5
Cross Site Script 5
安全威胁 6
代码示例 6
攻击实例 7
解决方案 8
FLASH 10
安全威胁 11
代码示例 11
攻击实例 11
解决方案 12
Third-party script references 15
安全威胁 15
代码示例 15
攻击方法 16
解决方案 16
第二章 伪装 16
Cross-Site Request Forgery 16
安全威胁 16
代码示例 16
攻击实例 17
解决方案 18
常见问题 19
URL redirect 19
安全威胁 19
代码示例 19
攻击方法 19
解决方案 21
第三章 注入 21
SQL injection 21
安全威胁 22
代码示例 22
攻击实例 23
解决方案 23
Code injection 24
安全威胁 24
代码示例 24
攻击实例 25
解决方案 26
XML injection 26
安全威胁 26
代码示例 26
攻击实例 27
解决方案 27
System command injection 28
安全威胁 28
代码示例 28
攻击实例 28
解决方案 28
常见问题 28
第四章 文件操作 28
File upload 28
名称定义 28
代码示例 28
攻击实例 29
解决方案 29
File download and Directory traversal 30
安全威胁 30
代码示例 30
攻击实例 30
解决方案 31
第五章 访问控制 31
Vertical Access Control 31
名称定义 31
代码示例 31
攻击方法 32
解决方案 32
Horizontal Access Control 32
安全威胁 32
代码示例 32
攻击实例 33
解决方案 34
常见问题 34
第六章 Session管理 35
Cookie httponly flag 35
安全威胁 35
代码示例 35
攻击实例 35
解决方案 35
常见问题 35
Cookie Secure flag 35
名称定义 36
代码示例 36
攻击方法 36
解决方案 36
Session Expires 37
安全威胁 37
代码示例 37
攻击实例 37
解决方案 37
第七章 密码算法安全 38
Insecure Pseudo randomness 38
安全威胁 38
代码示例 38
攻击实例 39
解决方案 40
Insufficient Encryption Strength 40
安全威胁 40
代码示例 40
攻击实例 41
解决方案 41
第八章 错误处理与日志 42
Error Handling 42
安全威胁 42
代码示例 42
攻击实例 43
解决方案 43
Logging 44
记录日志 44
日志存储 44
日志字段 44
第九章 Changelog 45
第十章 相关链接 45

链接

http://vdisk.weibo.com/s/t0sV3ToTpPUpp?from=page_100505_profile&wvr=6