【sql注入】淺談JSP安全開發之SQL注入 本文轉自：i春秋社區 前言不管是用什么語言編寫WEB應用程序，他們都或多或少有一些地方存在漏洞。如果你想知道漏洞的運行原理，和防御方案，那么請看完本篇文章。目錄第一節 注入攻擊原理及防御 1.1、什么是SQL注入 ...

安全設計與開發checklist 檢查類型 檢查項(checklist) 輸入驗證 校驗跨信任邊界傳遞的不可信數據（策略檢查數據合法性，含白名單機制等） 格式化字符串時，依然 ...

安全編碼的基本准則 不要相信用戶的任何輸入數據，因為所有數據都是可以偽造的。用戶數據包括HTTP請求中的一切，例如：QueryString, Form, Header, Cookie, File 服務端在處理請求前，必須先驗證數據是否合法，以及用戶是否具有相關的操作權限 ...

SDL：Security Development Lifecycle 安全開發生命周期 培訓 要求 設計 實施 驗證 發布 響應 核心安全培訓 確定安全要求 創建質量門/錯誤標尺 安全和隱私 ...

一、網頁打開APP簡介 Android有一個特性，可以通過點擊網頁內的某個鏈接打開APP，或者在其他APP中通過點擊某個鏈接打開另外一個APP（AppLink），一些用戶量比較大的APP，已經通過發布其AppLink SDK，開發者需要申請相應的資格，配置相關內容才能使用。這些都是通過用戶自定 ...

申明：本文非筆者原創，原文轉載自：https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%8 ...

Android安全開發之安全使用HTTPS 1、HTTPS簡介 阿里聚安全的應用漏洞掃描器中有證書弱校驗、主機名弱校驗、webview未校驗證書的檢測項，這些檢測項是針對APP采用HTTPS通信時容易出現風險的地方而設。接下來介紹一下安全使用HTTPS的相關內容。 1.1 為何需 ...

Android安全開發之淺談密鑰硬編碼 作者：伊樵、呆狐@阿里聚安全 1 簡介 在阿里聚安全的漏洞掃描器中和人工APP安全審計中，經常發現有開發者將密鑰硬編碼在Java代碼、文件中，這樣做會引起很大風險。信息安全的基礎在於密碼學，而常用的密碼學算法都是公開的，加密內容的保密依靠的是密鑰 ...