学习时间:7小时
代码量:120行(安全加固)
博客量:1篇
核心学习内容:

ZAP自动化扫描:

bash
docker run -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable
zap-baseline.py -t https://library-app -g gen.conf -r report.html
Spring Security防护:

java
http
.headers()
.contentSecurityPolicy("default-src 'self'")
.and()
.csrf()
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
漏洞报告:

风险等级 漏洞类型 数量
高危 SQL注入 2
中危 XSS 5
修复方案:
SQL参数化:PreparedStatement替换字符串拼接

XSS过滤:

java
String safe = Jsoup.clean(input, Safelist.basic());
明日计划:

敏感数据加密存储

GDPR合规性检查