开发为什么要知道OWASP TOP10

TOP1-注入

TOP1-注入的示例

TOP1-注入的防范

TOP1-使用ESAPI（https://github.com/ESAPI/esapi-java-legacy）

TOP2-失效的身份认证和会话管理

TOP2-举例

TOP3-跨站

TOP3-防范

TOP3-复杂的 HTML 代码提交，如何处理？

TOP4-不安全的对象直接引用

TOP4-防范

TOP5-伪造跨站请求（CSRF）

TOP5-案例

TOP5-防范

TOP5-使用ESAPI防范

TOP6-安全误配置

TOP6-案例

TOP6-防范

TOP7-限制URL访问失败（缺少功能级访问控制）

TOP7-案例

TOP7-防范

TOP7-认证与权限设计

下面提供1个认证与权限相分离的设计给大家参考。

• 认证与权限分成2个服务

• 对于权限来说，业务系统只需要扔给它一个具体的action，该服务就会返回一个yes/no

基于RBAC设计的权限系统（采用了表继承）

TOP8-未验证的重定向和转发

TOP8-案例

TOP8-测试与防范

TOP9-应用已知脆弱性的组件

TOP10-敏感信息暴露

TOP10-防范