原文資料鏈接 https://mp.weixin.qq.com/s/SWW_pkG_c-9kebDDpQkamw A1. SQL注入 防止注入漏洞需要將不可信數據從命令及查詢中區分開。 1.最佳選擇是使用安全的API，完全避免使用解釋器或提 供參數化界面的API。但要注意有些參數化的API，比 如存儲過程（stored procedures），如果使用不當，仍然可以引入注入漏洞。 2.如果沒法使用一個參數化的API，那么你應該使用解釋器具體的escape語法來避免特殊字符。OWASP的ESAPI 就有一些escape例程。 3.使用正面的或“白名單”的具有恰當的規范化的輸入驗證方法同樣會有助于防止注入攻擊。但由于很多應用在輸入中需要特殊字符，這一方法不是完整的防護方法。 OWASP的ESAPI中包含一個白名單輸入驗證例程的擴展庫。 * * * * * A2. 失效的身份認證和會話管理 常見的會話劫持 就是用戶的身份憑證沒有哈希和加密、會話ID暴露在URL里（例如, URL重寫）。 對企業最主要的建議是讓開發人員使用如下資源： 1.一套單一的強大的認證和會話管理控制系統。這套控 制系統應: a) 滿足OWASP的應用程序安全驗證標準（ASVS） 中V2（認證）和V3（會話管理）中制定的所 有認證和會話管 理的要求。 b) 具有簡單的開發界面ESAPI認證器和用戶 API 是可以仿照、使用或擴展的好范例。 2. 企業同樣也要做出巨大努力來避免跨站漏洞，因為這 一漏洞可以用來盜竊用戶會話ID。 * * * * * A3、跨站腳本 (XSS)攻擊 A4、失效的訪問控制 注解：1 代碼分析工具：http://bobao.#/learning/detail/108.html