SDL：Security Development Lifecycle 安全开发生命周期 培训 要求 设计 实施 验证 发布 响 ...

TOTP：Time-Based One-Time Password Algorithm，基于时间同步的一次性口令，动态口令 技术标准：https://tools.ietf.org/html/rfc6 ...

使用安全可靠的加密算法和随机数生成算法 密钥管理 在密码学里有个基本原则：密码系统的安全性应该依赖于密钥的复杂性，而不是算法的保密性。 在安全领域里，选择一个足够安全的加密算法不是困难的事，难的 ...

DOS：Denial Of Service DDOS：Distributed Denial Of Service（利用僵尸网络——由“肉鸡”组成，发起 DoS 攻击） 常见的 DDOS 攻击 S ...

数据与代码未分离 用户能控制数据的输入，代码与数据拼接 SQL 注入 1. 试探 SQL 注入漏洞是否存在——简单盲注 常规 URL：http://www.example.com/test.p ...

CSRF（Cross Site Request Forgery）跨站点请求伪造：攻击者诱使用户在访问 A 站点的时候点击一个掩盖了目的的链接，该链接能够在 B 站点执行某个操作，从而在用户不知情的情况 ...

OWASP 认证 密码维度 单因素认证、双因素认证、多因素认证（密码、手机动态口令、数字证书、指纹等各种凭证）。 密码强度 长度：普通应用6位以上；重要应用8位以上，考虑双因素； 复杂度： ...

文件上传漏洞 用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。 文件上传可能存在的安全问题： （1）上传文件为 Web 脚本，服务器的 Web 容器解释并执行了该脚 ...