互联网公司通用XSS解决
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
探讨d4rkwind@百度自我介绍暗夜潜风/d4rkwind百度高级安全
工程
路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理
师mere#vip.qq.com提纲问题现状解决思路付诸实践经验
总结
初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf
我们遇到什么样的问题现状?问题现状问题现状——数量足够多问题现状——“新型”攻击手法普及移动/云前项收费……问题现状——战略必须拥有安全保障解决当前问题,我们的思路是什么?解决思路解决思路避免出现开发环节安全保障测试环节安全保障及时发现自行发现主动获取降低危害保护重要系统保护认证会话基于上述思路,如何付诸实践?付诸实践付诸实践——开发环节发布规范场景方案调研模板种类比例开发工具覆盖度准确率嵌入流程覆盖度可实施性付诸实践——测试环节扫描工具准确率速度扫描平台稳定API嵌入流程覆盖度可实施性例行安全扫描流量/日志挖掘付诸实践——自行发现全流量URL库扫描工具/平台运维平台日志挖掘sec.baidu.com付诸实践——主动获取Wooyun安全响应中心重要系统免受其他系统影响:统一登录分散认证重要系统自身免受XSS影响:CSP响应头设置付诸实践——保护重要系统unsafe.baidu.comimportant.baidu.compassport.baidu.comBDUSS容易被盗Passport.baidu.comunsafeimportantotheraotherb保护认证会话:会话HttpOnly化付诸实践——保护认证会话数据证明PC端测试WAP端测试排查修复代码库排查产品线排查修复上线小流量上线全流量上线我们近年得到的一些经验总结经验总结经验总结——选准对象,把握推动顺序HttpOnlyCSP统一登录分散认证模板安全完美方案?背景:Important.baidu.comPassport.baidu.comUnsafe.baidu.com统一登录分散认证核心思想:BDUSS+STOKEN,BDUSS共用,STOKEN分散在重要产品线统一登录分散认证背景:模板代码自动化安全检查变量输出场景安全转义方法HTML标签中或标签属性值中HTML编码HTML标签链接属性值中URL编码HTML标签事件属性值中Javascript转义+HTML编码Script标签中Javascript转义Json数据中HTML编码+Javascript转义Callback回调函数名Callback转义其他禁止效果:模板代码自动化安全检查现场演示:模板代码自动化安全转义广告——百度安全团队欢迎您~hr.baidu.comThanksQ&A