Origin/原文: CheatSheetSeries ,适用于安全开发方向,专业且全面的技术参考资料。
说明: 标记[D], 属译者补充内容,译者认为原文存在知识点欠缺或难于理解时,会打上标记并补充理解性内容
Total Docs: 75篇
-
常见安全问题
-
业务功能
-
枚举
-
防范凭证填充(撞库) - 100%
-
防范不安全的直接对象引用(IDOR) - 100%, update 2021.12.07
-
-
注入
-
浏览器
- 防范点击劫持 - 100%
- 内容安全策略 - 100%
- 防范跨站请求伪造(CSRF) - 100%
- 防范跨站泄露(xs-leak) - 100%
- 防范XSS - 100% | commit: e3a4f9f on 19 Jul
- 防范基于DOM的XSS - 100% | commit d2dd9d1 on Aug 7
- XSS过滤绕过(逃逸) - 1%
-
文件操作
- 文件上传 - 1%
-
(反)序列化操作
- 反序列化 - 100%
-
网络操作
- 防范服务端请求伪造(SSRF) - 1%
-
典型问题
- 自动绑定(变量覆盖) - 1%
- 防范未验证的重定向和转发 - 100%
- 防范XML外部实体(XXE) - 1%
-
-
设计安全
-
服务安全
- 数据库服务
- 数据库安全 - 1%
- 微服务
- 微服务安全 - 1%
- 基于微服务的安全-Arch文档 - 1%
- 应用服务
- WEB服务安全 - 1%
- 容器服务
- docker安全 - 1%
- Kubernetes安全 - 1%
- NodeJS docker - 1%
- 数据库服务
-
基础/组件安全
-
可用性
- 拒绝服务 - 100%
-
通信
- HTTP严格传输安全(HSTS) - 1%
- Pinning - 1%
- TLS Cipher String - 1%
- 传输层防护 - 1%
-
接口化数据交互
-
供应链/包管理
- 第三方JavaScript(依赖库)管理 - 1%
- 脆弱依赖管理 - 1%
- npm安全 - 1%
-
-
语言安全
- JS
- Nodejs安全 - 1%
- JAVA
- bean validation规范 - 1%
- java防范注入 - 1%
- java认证授权服务(JAAS) - 1%
- java下JWT算法 - 1%
- C/C++/C#/.NET
- DotNet安全 - 1%
- 基于C的增强防御工具链 - 1%
- PHP
- Ruby
- Ruby on Rails - 1%
- 前端
- 通用
- 安全断言标记语言(SAML) - 1%
- JS
-
安全管控
-
SDL流程
- 基线(恶意)用例 - 20%
- 需求: [D]安全需求基线
- 设计: 威胁建模 - 1%
- 设计: 攻击面分析(风险识别) - 1%
- 编码: [D]扫描、审计
- 转测: [D]渗透测试
- 转测: [D]漏洞回归
-
安全自动化
- 授权测试自动化 - 1%
-
安全运营
- 漏洞披露 - 1%
-
安全合规
- 文章目录 cheatsheets
- 草稿 cheatsheets_draft
- 归档内容 cheatsheets_excluded
- 资源文件 assets
- 主页 README.md
- Djerryz