Security 设计良好且安全的web应用程序示例

大多数人会意识到或发现斯通的和。这些都是故意设计的不安全应用程序，目的是让初学者了解常见的安全漏洞

相反，我无法找到任何故意安全的应用程序。假设没有这样的应用程序是完全安全的，但是是否有任何应用程序可以实现大多数其他应用程序应该遵循的最佳实践集合

PS：为了明确我的需求，我正在寻找一个与Webgoat“安全等价”的应用程序，或者更好的，一个安全的应用程序。在论文/网站/博客中讨论的安全性设计权衡将是一个额外的好处

---

PPS：这是现在的社区维基，特别是因为可以/可能有几个正确的答案-这不是特定于语言的。

OWASP指南包含了这些信息。

我认为一个更有趣的问题是“你能给我一个可以安全地执行X和Y的代码吗？”-可重复使用的安全代码片段，可接受一些输入并产生经过安全验证的输出。

同意。但我正在寻找可以研究的应用程序源代码。人们在解释信息时会出错：）或者，并非所有的安全属性都可以合并到应用程序中。我同样对实施过程中所做的权衡感兴趣；我想还没有人敢说‘这是最安全的银行应用程序’：）也许你可以建议它，把它作为一个OWASP项目来开发。这是一个可以说是有趣的想法。我对密码学的知识是零，但“安全”是一个相对的术语。。。今天安全的东西可能明天就不安全了，暴力袭击可能会破坏早年被认为安全的东西。同样的情况也适用于算法，例如在谜团中发现的弱点感谢响应。为什么这个问题是针对一个完整的应用程序而不是代码片段，更重要的是，在构建应用程序的过程中，人们可能会认为特定的代码片段在某些上下文中比其他代码片段更安全。例如，一些Java内置的应用程序（桌面应用程序）只使用字节数组存储和管理密码（比web应用程序中几乎总是使用的字符串更安全）。任何安全的Java web应用程序都必须与该漏洞共存。一段代码通常不会公开这一点。