我有一些应用程序,其中一些公开公共端点。
我想知道这些应用程序是否可以免受某些常见类型的攻击,例如(CSRF、XSS、SQL 注入)。
考虑到这些应用程序所包含的代码大小,几乎不可能去检查所有这些可能的安全漏洞。
我想知道是否有任何开源库可以扫描代码或检查端点是否安全免受这些攻击,或者我们可以在 CDN 层中配置或可能在构建步骤中的任何企业级解决方案检查漏洞并警告开发人员。
我们的大多数应用程序都是使用 Java 和 golang 编写的。
已经阅读过一些内容,例如 ESAPI、OWASP CSRFProtector Project、OWASP CSRFGuard,但它们不能满足我的要求。
我正在寻找的解决方案应该在集成部分进行最少的开发工作,例如添加一些库或配置一些东西。
任何线索将不胜感激。
安全性很难:)没有灵丹妙药,任何声称的东西充其量都是“误导”。源代码扫描 (SAST) 很重要,但它可能会标记大量误报,并且不会告诉您哪些内容真正容易受到攻击。动态扫描 (DAST) 工具攻击您的端点 - 这为您提供了“攻击者”视图。理想情况下,您应该同时使用两者。最流行的 DAST 扫描器是 OWASP ZAP (https://www.zaproxy.org) - 它是开源且完全免费的(免责声明,我是 ZAP 项目负责人;)。它不需要对您的应用程序进行任何更改,但需要进行一些设置和配置才能充分利用它。它在自动化中大量使用,因此您可以在开发和登台环境中使用它 - 这通常比生产中的测试更好:)