問題タブ [owasp]

私は Web アプリケーションの開発を任されており、Struts フレームワークは標準のようで実装が簡単であるため、Struts フレームワークの使用を考えています。

ただし、決定を下す前に、Struts で使用できるセキュリティ機能について知っておく必要があります。

Struts を使用してOWASP Top 10を処理する効果的な方法はありますか? もしそうなら、どうすればそれを達成できますか？

私が知っている会社は、すべてのWebアプリケーション製品でパスワードセキュリティポリシーを強化するために話し合っています。

現在、HTTPを介してPOSTフォームでユーザー名/パスワード認証を送信しているため、プレーンテキストで送信されています。

この問題の最も簡単な解決策は、すべてのアプリケーション間でログオンするためにHTTPSを要求することです。

さて、代わりに、パスワードのある種の独自のクライアント側暗号化（パスワード+ソルトなど）を実行することについて、いくつかの内部的な議論があります。

受け入れられているHTTPのみのソリューションはありますか？

意見は...まあ、誰もが意見を持っているので、私はあなたの推薦をサポートすることができる信頼できるセキュリティ文献を探しています。ただグーグルしてブログ投稿に送ってはいけません...私はすでにそれ以上のことをしました。

OWASPの推奨事項を見つけました： http ：//www.owasp.org/index.php/Top_10_2007-A7#Protection

Microsoftと同様に：http： //msdn.microsoft.com/en-us/library/aa302420.aspx

編集： SSLの使用を推奨するだけでは不十分です。ある種のサポートドキュメントが必要です。私たち自身のクライアント側の暗号化をローリングするのは悪いことだと私は知っています。私はそれを同僚や経営者に確実に売ることができる必要があります。

また、HTTPダイジェストについても言及されています。良さそうですが、ダイジェストはHTTP認証専用であり、POST経由で送信されるデータ用ではありません。

Ruby で Web アプリケーションを安全に開発する方法について、Powerpoint の優れたプレゼンテーションを見つけた人はいますか?

1. OWASP Top Ten などの安全なコーディング手法を使用するだけで十分ですか?
2. 改ざんを検出するには、どのような手法を使用する必要がありますか?

典型的な Java アプリケーションでは、XML パーサーは XALAN/XERCES ですが、セキュリティを考慮して作成されていません。セキュリティに関して、より堅牢なパーサーがあるかどうか知りたいです。

Oracle の Virtual Private Database (VPD) に相当する SQL Server は何ですか?

保存データのカテゴリでキャッシング製品の使用を検討しますか?

OWASP Webサイトで、上位10項目の1つに、認証または特権レベルの変更が成功したときに新しいセッションを再生成することを検討する必要があると記載されています。

これを行う正しい方法は何でしょうか？

同僚が私に言ったことの1つですが、私はテストしていません。ユーザーがブラウザータブを使用すると、各タブが独自のセッションを取得しないため、演習全体が無効になると思います。

ありがとう、ポール・スペランザ