【发布时间】:2014-08-07 02:00:21
【问题描述】:
我正在评估我的 Web 应用程序的安全性。当我在我的 Web 应用程序中使用 Spring 时,我想利用 Spring Security 框架。我搜索了有关网络安全的更多信息,发现了 OWASP 社区,它是前 10 名攻击列表。所以我的问题是;配置 Spring Security 来保护我的应用程序就足够了吗? Spring Security Framework 可以处理 OWASP 前 10 名(2013 年)中的哪些安全威胁?
【问题讨论】:
-
Spring Security 仅处理保护 URL 并为您提供登录框架,如果底层身份验证机制仍然薄弱,您仍然会有潜在的安全漏洞。 Spring Security 确实提供了一种在 URL 上强制 SSL 的机制,但是您仍然需要 SSL 证书。所以简而言之,Spring Security 不足以满足 OWASP 前 10 名。
标签: spring-security owasp