本项目是在自身的安全认知基础上,对CheatSheetSeries内容进行分类,整理,完善而成。阅读OWASP CheatSheet的过程中,发现其内容是专业,全面与简练的。对于没有安全攻防实战的开发人员等,在实现安全动作或防范安全漏洞时,可以不求甚解,结合文章阐述的场景、原理与最佳实践等,快速提升安全质量以避免踩坑。
OWASP安全速查表的目标是帮助阅读者构建更加安全的应用程序,涵盖了"常见安全问题","常见防御措施","语言特性","数据结构","安全管控","环境安全","SDL流程","运营","合规"等多个方面的安全实践;同时,对于未参照安全实践所实现的业务和场景,攻击者可以反向思考,分析会存在哪些潜在的攻击面与脆弱性。
对于安全行业从业者,大都有自己的知识文档或速查表。本系列的文章的价值在于,CheatSheetSeries项目作为OWASP维护的项目,集成许多优秀安全人员的智慧与经验,他山之石,可以攻玉,通过阅读与学习,可以查漏补缺。
-
PDF: 待规划
-
在线阅读: 待规划
Total Docs: 73篇 标记 [D] 为原创内容
- 安全问题
- 业务功能
- 枚举类
- 防范凭证填充(撞库) - 100%
- 业务/权限逻辑
- 防范不安全的直接对象引用(IDOR) - 100%
- 注入类
- 客户端/浏览器类
- 点击劫持防御 - 1%
- 内容安全策略 - 1%
- 防范跨站请求伪造(CSRF) - 1%
- 防范基于DOM的XSS - 1%
- XSS过滤绕过(逃逸) - 1%
- 典型问题
- 反序列化 - 1%
- 文件上传 - 1%
- 自动绑定(变量覆盖) - 1%
- 防范服务端请求伪造(SSRF) - 1%
- 未验证的重定向和转发 - 1%
- 防范XML外部实体(XXE) - 1%
- 可用性
- 拒绝服务 - 1%
- 防御措施
- 数据
- 数据库
- 数据库安全 - 1%
- 通信
- HTTP严格传输安全(HSTS) - 1%
- Pinning - 1%
- TLS Cipher String - 1%
- 传输层防护 - 1%
- 微服务
- 微服务安全 - 1%
- 基于微服务的安全-Arch文档 - 1%
- 接口化数据交互
- 架构
- 软件定义基础架构(IaC)安全 - 1%
- 供应链/包管理
- 第三方JavaScript(依赖库)管理 - 1%
- 脆弱依赖管理 - 1%
- npm安全 - 1%
- 通用
- 自动化
- 授权测试自动化 - 1%
- 语言特性
- JS
- Nodejs安全 - 1%
- JAVA
- bean validation规范 - 1%
- java防范注入 - 1%
- java认证授权服务(JAAS) - 1%
- java下JWT算法 - 1%
- C/C++/C#/.NET
- DotNet安全 - 1%
- 基于C的增强防御工具链 - 1%
- PHP
- Ruby
- Ruby on Rails - 1%
- 前端
- JS
- 数据结构
- XML
- XML安全 - 1%
- XML
- 安全管控
- 环境安全
- 容器
- docker安全 - 1%
- Kubernetes安全 - 1%
- NodeJS docker - 1%
- 容器
- SDL流程
- 基线(恶意)用例 - 20%
- 需求: [D]安全需求基线
- 设计: 威胁建模 - 1%
- 设计: 攻击面分析(风险识别) - 1%
- 编码: [D]扫描、审计
- 转测: [D]渗透测试
- 转测: [D]漏洞回归
- 运营
- 漏洞披露 - 1%
- 合规
- 用户隐私保护 - 1%
当前commit: Commits on Aug 16, 2021。
以当前commit为起点,脚本检查cheatsheets, assets目录变更情况,人工对变更的文件和内容进行翻译与更新后,重置起点。
文章中的"待规划" 代表原文该处标记未来补充或者和前面重复,后续大概率会更新的地方。
- 文章目录 cheatsheets
- 草稿 cheatsheets_draft
- 归档内容 cheatsheets_excluded
- 资源文件 assets
- 主页 README.md
- Djerryz
任何翻译,文字语法上的错误,或者技术细节,欢迎提交issue进行探讨。