はじめに：

PTEは、貧困の制限私の学習をテストしたかった......簡単にCWASP CSSDを説明します。

共同で中国情報セキュリティ評価センターが開発した「CWASP CSSP研修認定制度」とオープンソースのインターネットセキュリティ技術深セン株式会社は、業界初のセキュリティソフトウェア開発者は、トレーニングの認定制度を特化されています。「CWASP CSSD（登録セキュリティソフトウェア開発者）のトレーニング認定は、」「ソフトウェアセキュリティ開発は、」基本的な目的は、ソースからソフトウェアの誕生を減らし、ソフトウェア開発の専門家に関連する意識とスキルを強化するために、認証制度の下で重要なトレーニングの認定の一つでありますソフトウェアの欠陥とセキュリティの脆弱性は、ソフトウェアの実行中のセキュリティを向上させます。

研究の過程では、まだ、私は多くのことを学んだ、証明書は説明できないものを、学校に代わってテストに研究プロセスをされた学習の方法はまた、悪い考えではありません、鍛冶屋、独自のハードウェアを必要としています。

いくつかの一般的な知識（ビット汚いが、表示されます...）

配信されるプログラムコンポーネント内のデータをチェックするために、「クリーン」な手段、特に悪質なデータと不要なデータを削除しました。
「アプリケーションの追加と削除、ユーザーがアカウント」イベントがログに記録されます。
「標準の安全チェックリストのコーディング」をソフトウェア開発チームの符号化プロセスにおけるセキュリティガイダンスを提供するために使用することができます。
OWASPTop10の「既知の脆弱性を使用してコンポーネントを含む」リモート実行脆弱性に属するApacheStruts2S2-045（CVE-2017から5638）およびS2-046（CVE-2017から5638）
SAMMは、ソフトウェアのセキュリティとBSIMM成熟度モデルです。
クッキーは、このようなA値「のSet-Cookieを：ドメイン= .facebook.com」は、facebook.comにすべてのサブドメイン名で、このCookieの値が有効である説明しました。
OWASPDependencyCheckは非常に良い、サードパーティ製のコンポーネントのセキュリティ脆弱性検出ツールです。
攻撃ベクトルb）ユニバーサル脆弱性c）の脆弱性検出性d）は技術的効果）：要素OWASPTop10評価基準には、
OWASPTop10は、認識されたアプリケーションのセキュリティ基準である10件の最も一般的なアプリケーションのセキュリティリスクを説明しています。
Retire.jsはNodejs使用したWebアプリケーションの脆弱性とJavaScriptライブラリを検出することができます
）規制（Governace）b）の構築（構築）c）の検証（検証）d）の展開（展開）：などのビジネス機能のためのSAMMソフトウェアセキュリティの成熟度モデル、
S-SDLCプロセスの重要な要素は、a）訓練、政策と組織を。b）の設計レビュー、攻撃面分析と脅威分析。c）のセキュリティ開発、コードレビュー、セキュリティテスト、セキュリティの強化
STRIDEは、効果的な脅威モデルです。
X-フレーム・オプション：HTTPヘッダを拒否するには、クリックジャッキング（クリックジャッキング）攻撃を防ぐことができます。
XSS攻撃は何をすべきかを攻撃するために使用することができますか？A）ユーザクッキーb）ユーザインタフェース改ざんC）ユーザの個人情報の盗難を盗みます
XSSのクロスサイト害は何ですか？A）現在のサイトのコンテンツcを変更する）セッションクッキーbを盗む）釣り
X-XSS-保護：1、場合によっては、XSS攻撃を防ぐために、HTTPヘッダーをブロックします。
直接Webフォルダにアクセスするには、ファイル・サーバやデータベースをアップロードすることが推奨されたファイルをアップロードしないでください。
一般的なパスワードポリシーは、a）は、最小の長さを設定しました。b）は、文字の場合。c）は、数字や特殊文字が含まれています。
CSRF CSRF攻撃を防ぐトークンリング（トークン）を増加させることにより行うことができるために、トークンは、特徴は何ですか？A）各固有ユーザトークンB）トークン予測不可能C）のためのない送信GETトークン
注射OWASPTop10ために、以下の値を想定：攻撃= 1つのベクトルの可用性、ユニバーサル2 =脆弱性を、脆弱性が検出性= 2、1 =脆弱性に影響を与える可能性があり、その後、リスク=（1 + 2 + 2）/ 3 * 1 = 1.67。
攻撃者が見つかったリンクは次のとおりです。http://www.bank.com/account?id=1001、そのうち 1001は、自分のアカウントIDで、彼はアカウント情報を表示することができます1009年と1009年に1001を入れ、この脅威「安全でないオブジェクトの直接参照。」と呼ばれます
）ファイルパスbを）URLまたはフォームパラメータc）データベースの主キー：攻撃者は、彼がのリソースにアクセスする権限がありませんでしたアクセスするには、次のアプリケーションへの参照を操作することができます
閉じるディレクトリリスト機能。
オープンWebApplicationSecurityプロジェクト（OWASP）セキュリティ組織によってOWASPTop10は公開し、準備し、維持します。
OWASPTop10に適し：ソフトウェア開発、ソフトウェアテスト、ソフトウェアのセキュリティ担当者をコーディングソフトウェアに関連した人員のすべてのタイプに適用されます。
OWASPTop10は、10個のカテゴリが含まれています10最大のソフトウェアセキュリティ上のリスクを指し、
STRIDEモデル：偽造手段（スプーフィング）をS、Tは、（改ざん）、R-否認手段（否認）を改ざんを指し、Iは情報漏洩（InformationDisclosure）を指し、Dは、サービス（DenialofService）の否定を意味し、Eは特権昇格（ElevationofPrivilege）を意味します。
偽造（スプーフィング）、一般的な手法は、ユーザ名/パスワード、IPSecの、SSHなどにあります。
サービス拒否（DenialofService）は、従来の技術は、高可用性、アクセス制御、濾過等のために設計されています。
特権エスカレーション（ElevationofPrivilege）、一般的な技術は、入力検証、役割ベースのアクセス制御です。
エンタープライズソフトウェアは、多くの場合、ユーザーのジョブの役割に応じて権限を設定するために使用されます。
企業の組織構造に関係する権限を制御し、設定します。
機密性の高いデータ伝送が投稿ゲット代わりに使用する必要があります。
定期的にサーバー側に保存された機密データファイルを削除します。
異常データアクセスを検出します。
JSP、ASPXとPHPインジェクション攻撃が存在しているリスク
脅威は、ステップの論理的順序モデリング：レンダリングデータフロー図、脅威分析を、脅威、脅威モデルのレビューを軽減します。
式を用いてOWASPTop10リスク計算：影響を算出するリスク=可能性が*。
セキュリティソフトウェア開発のベストプラクティスを満たしていないa）は、攻撃者がパスワードcを変更することはできません）ユーザーがパスワードbを得るために逆コンパイルすることができます）：このような危険のソースコードで記述されたパスワードなどの機密情報
ブラウザ上で実行される：クロスサイトスクリプティングは、単に（ジャバスクリプトなど）ユーザ入力があることを意味します。
可能であれば、SQLインジェクションを防ぐために、スプライスSQL文に「+」を使用しないようにしてください。
あなたは、サードパーティ製のコンポーネントを使用する場合は、本番環境では、デフォルトのユーザー名とパスワードを変更してください。
パスワードは両方を検証するために必要な場合、我々はトークン必要、この検証は、「二要素認証」と呼ぶことができます。
ソフトウェアセキュリティの成熟度モデルは、a）BSIMMモデルB）SAMMモデル。
ステージのセキュリティソフトウェア開発プロセスは、次のとおりです。設計、実装、検証、リリースおよび応答を。
アップロードファイルは、ファイルのサイズを確認する必要があり、通常はシステム内（例えば10M）のデフォルト値を指定することができ、この値は、ファイルをアップロードするようにユーザに促すことができ超え、悪意のあるユーザーが（例えば2Gなど）いくつかの大きなファイルをアップロードするために防止する、大きすぎますサービスシステムの原因と拒否。
48：補強のために使用される生産環境、すべてのオペレーティング・システム、データベースおよびアプリケーション・サーバー。
ハッシュ、またはそれ以上ではなくMD5を使用するよりも、SHA256アルゴリズムを推奨します。
ハッシュアルゴリズムを使用している場合、それは塩をお勧めします。
認証検証は、好ましくは、後で分析の利便性のために記録することができませんでした。
最低限のみ必要なタスクを完了するために、ユーザーのアクセスを制限する権限を与え、データとシステム情報
出力コードは、クロスサイトXSS攻撃を防ぐために効果的な方法です。
データフローグラフは、脅威モデルの脅威分析を実行するために使用することができます。
デジタル署名は、データのみの整合性を確保することができ、データの否認防止を確実にすることができます。
一般的には、「SQLインジェクションは、」SQL文の実行には脅威をトリガとして、ユーザ入力が処理されているものです。
その後のセキュリティ設計、セキュリティ、開発、セキュリティテストおよびセキュリティの展開上の脅威解析有意義な指導。
伝送のセキュリティを確保するために、我々はSSL1.0、SSL2.0、SSL3.0、TLS1.0その他の契約が、推奨TLS1.2を使用しないでください。
システム設定の権限は、いつ最小特権の原則に従うべきです。
ランダムアルゴリズムは、このようなjava.util.Randomのクラスの代わりににjava.security.SecureRandomクラスを使用するなど、安全システムを使用する必要があります。
防ぐCSRF CSRF攻撃？a）に隠されたフォームフィールドを追加しますが、第二の認証リクエストヘッダのAjaxでの重要な操作のランダムトークンb）のランダムトークンCを追加）を示し、パスワードの再入力をユーザーに許可します
アクセス制御正しい実装？a）は、常にサービス制御サーバではなくクライアントであること。b）の許可を検出するすべての層に適用する必要があります。C）ロールベースのアクセス（RBAC。
Preventが直接オブジェクト参照を安全でありませんか？a）は、このようなGUID Cなどの予測不可能な鍵を使用して）直接対象アプリケーションBの内部に露出しないようにしてください）ハッシュトークンを使用して整合性チェックを増加させます
防止、クロスサイトスクリプティングのXSS攻撃：入力検証と出力検証およびコンテンツセキュリティポリシー（CSP）を行います
プロパティは、ネットワーク内の安全な伝送を保証することができますクッキーでクッキー？セキュア
どのような情報がログに記録されなければなりませんか？a）ユーザアカウントを追加または削除します。成功または失敗のb）のログインおよびログアウトの記録。c）は、データベース接続を記録しようとしませんでした。
より良いブルートフォースを防ぐため、システムの機能に影響を与えることが前提の下で、比較的小さなどっちですか？ログインが一定回数（例えば3回）のために失敗した、CAPTCHAを入力するプロンプトが表示されます。
どの会話を保護する方法はありますか？）ログインに成功した後、すぐにセッションを無効にします。成功したログアウト）bの後、すぐにセッションを無効にします。c）の検証が必要であるところ、そこにログアウトしなければなりません。
「SQLインジェクション」の予防策として適している方法の下に？a）のクエリをパラメータ化。b）の手順を保存します。C）エスケープを入力してください。
成功したSQLインジェクションの影響を引き起こす可能性があります何ですか？a）は、データベースから機密データを読み込みます。b）は、データベース内のデータを変更します。c）の一部の管理操作のデータベースを実行します。
どちらの文書は、参照のソフトウェアセキュリティ開発のソフトウェア開発チームとして使用することができますか？） "OWASPSecureCodingPractice" B） "OWASPCheatSheet" C） "セキュリティコーディング標準のチェックリスト"
S-SDLCプロセスでは、デザインレビューは、a）検証、認可および認証を入力します。b）の構成管理、セッション管理、および例外管理。c）の機密データ、暗号化、ロギングおよび監査。
セキュリティソフトウェア開発プロセス（S-SDLC）と応答フェーズで公開され、我々は、セキュリティ、パッチ管理、脆弱性管理とセキュリティインシデント対応を強化する必要があります。
ソフトウェア開発プロセスのセキュリティ設計段階における（S-SDLC）において、我々は、脅威の分析と攻撃面分析する必要があります。
検証フェーズにおけるセキュリティソフトウェア開発プロセス（S-SDLC）は、我々はダイナミックスキャンおよび侵入テストツールが必要です。
セキュリティ上のリスクアセスメントソフトウェア開発プロセス、我々はどのような要因？A）アプリケーションプロセスの個人情報かどうかを検討する必要がありますか？b）のアプリケーションプロセスは、商業的に機密性の高いデータは？C）アプリケーションがサービスを提供するかどうかを重要な役割を果たしているかどうか。
データベースへのアプリケーション接続すると、管理者アカウントをお勧めしませんが、新しいユーザーを作成し、それを少なくともし、必要な権限を付与します。

遭遇したいくつかの知識ポイントを取得（登録セキュリティソフトウェア開発者）CWASP CSSD

はじめに：

いくつかの一般的な知識（ビット汚いが、表示されます...）

おすすめ