Secure Code Warrior® Directrices proporcionan un aprendizaje específico que se adapta al lenguaje/marco de su elección. Guían a los desarrolladores a través de estrategias de seguridad defensivas para aumentar sus conocimientos antes de sumergirse en el aprendizaje interactivo.
Los desarrolladores aprenderán tanto estrategias generales de mitigación para reforzar sus conocimientos de seguridad, como las mejores prácticas en profundidad para el lenguaje/marco seleccionado.
Las guías constan de 3 partes principales:
- Introducción general, Descripción y Mitigación.
- Mitigaciones del lenguaje/marco.
- Fragmentos de código adicionales (si procede).
Vulnerabilidades cubiertas
- Control de acceso - Falta de control de acceso a nivel de función
- Control de acceso - Falta el control de acceso a nivel de objeto
- Autenticación - Uso de autenticación de factor único
- Autenticación - Credenciales insuficientemente protegidas
- Autenticación - Autenticación incorrecta
- Lógica empresarial: validación insuficiente
- Lógica empresarial: error lógico
- Cross-Site Scripting (XSS): Cross-Site Scripting basado en DOM
- Cross-Site Scripting (XSS): Cross-Site Scripting almacenado
- Cross-Site Scripting (XSS): Cross-Site Scripting reflejado
- Denegación de servicio - Fallo en la liberación de recursos
- Vulnerabilidad de carga de archivos - Carga de archivos sin restricciones
- Gestión inadecuada de activos - Gestión inadecuada de activos
- Exposición de información - Detalles del error
- Exposición de información - Información de depuración
- Exposición de información - Exposición de datos confidenciales
- Defectos de inyección: Inyección de código
- Fallos de inyección: Inyección de CSS
- Fallos de inyección: Deserialización de datos no fiables
- Fallos de inyección: Falsificación de registros
- Fallos de inyección: Inyección de comandos del sistema operativo
- Fallos de inyección: Recorrido de rutas
- Fallos de inyección: Inyección de recursos
- Fallos de inyección: Inyección SQL
- Criptografía insegura: Aleatoriedad insegura
- Registro y supervisión insuficientes - Registro y supervisión insuficientes
- Protección insuficiente de la capa de transporte - Transporte desprotegido de información sensible
- Falta de recursos & Limitación de la tasa - Falta de recursos & Limitación de la tasa
- Asignación masiva - Asignación masiva
- Corrupción de memoria: Desbordamiento del búfer
- Corrupción de Memoria: Doble Libre
- Corrupción de memoria: Vulnerabilidades de cadenas de formato
- Corrupción de memoria: Desbordamiento de Heap
- Corrupción de memoria: Valor de puntero ilegal
- Corrupción de memoria: Desbordamiento de enteros
- Corrupción de memoria: Desviación nula
- Corrupción de memoria: Condiciones de carrera
- Corrupción de memoria: Desbordamiento de pila
- Corrupción de memoria: Confusión de tipos
- Corrupción de memoria: Variable no inicializada
- Corrupción de Memoria: Utilizar después de liberar
- Desconfiguración de seguridad: Clickjacking
- Error de configuración de seguridad: Cabeceras HTTP inadecuadas o ausentes
- Mala configuración de seguridad: Exposición de información
- Mala configuración de seguridad: Funciones de seguridad deshabilitadas
- Mala configuración de seguridad: Permisos inadecuados
- Almacenamiento de datos confidenciales: Almacenamiento de contraseñas en texto sin formato
- Falsificación de peticiones del lado del servidor: Falsificación de peticiones del lado del servidor (SSRF)
- Redirecciones y reenvíos no validados: Redirecciones y reenvíos no validados
- Componentes Vulnerables: Uso de componentes vulnerables conocidos
- Componentes vulnerables: Uso de componentes de fuentes no fiables
- Entidades externas XML (XXE): Entidades externas XML (XXE)
Disponible para lenguajes: Marcos
Tenga en cuenta que no todas las 50 categorías de vulnerabilidad están cubiertas de manera uniforme en todos los idiomas.
- Ansible Basic
- Bash: Basic
- C: Embedded
- C# (.NET): Basic
- C# (.NET): Core
- C# (.NET): MVC
- C# (.NET):Web API
- C# (.NET): Web Forms
- C Basic
- C++: Basic
- C++: Embedded
- CloudFormation Basic
- COBOL: Mainframe
- Dart: Flutter
- Docker: Basic
- GO: API
- GO: Basic
- Java: Android SDK
- Java: Enterprise Edition (Basic)
- Java: Enterprise Edition (JSF)
- Java: Enterprise Edition (JSP)
- Java: Enterprise Edition API
- Java: Servlets
- Java: Spring
- Java: Struts
- JavaScript: Angular.io (2+)
- JavaScript:AngularJS (1.x)
- JavaScript: Basic
- JavaScript:Node.js (Express)
- JavaScript:Node.js API
- JavaScript: React
- JavaScript: React Native
- JavaScript: Vue.js
- Kotlin: Android SDK
- Kotlin: Spring API
- Kubernetes: Basic
- Objective-C: iOS SDK
- Perl: Dancer2
- PHP: Basic
- PHP: Laravel
- PHP: Symfony
- PL/SQL: Basic
- PowerShell: Basic
- Pseudocode: Mobile
- Pseudocode: Web
- Python: API
- Python: Basic
- Python: Django
- Python: Flask
- Python: Pyramid
- Ruby: Rails
- Rust: Basic
- Salesforce: Apex
- Scala: Play
- Swift: iOS SDK
- T-SQL: Basic
- Terraform: AWS
- Typescript: Basic
- Typescript:Node.js (Express)
- Typescript: React
Enlaces útiles:
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.