Web應(yīng)用程序安全應(yīng)重視的問(wèn)題

創(chuàng)客迷 2016-02-13

展開(kāi)全文

萬(wàn)事開(kāi)頭難，對(duì)于任何一個(gè)項(xiàng)目來(lái)說(shuō)，開(kāi)始階段對(duì)于交付安全的應(yīng)用非常的關(guān)鍵。適當(dāng)?shù)陌踩矫娴囊髸?huì)導(dǎo)致正確的安全設(shè)計(jì)。下面我們來(lái)看一下在分析Web應(yīng)用程序的安全要求時(shí)我們需要考慮到的問(wèn)題。

        1、認(rèn)證和口令管理：這是一種僅僅作為項(xiàng)目的一部分而完成的并且是一次性的活動(dòng)。
        口令策略：它非常重要的一個(gè)絕對(duì)性的原因在于避免與用戶憑據(jù)有關(guān)的字典攻擊;
        口令哈希算法：確保通過(guò)適當(dāng)?shù)募用芸诹钍鞘种匾模?br>         口令重置機(jī)制：這是為了避免黑客修改或截獲口令，也是非常重要的一點(diǎn)。

        2、認(rèn)證和角色管理：我們?cè)诜治鲰?xiàng)目安全問(wèn)題前，要確認(rèn)好所有的關(guān)鍵功能，并確認(rèn)有哪些人可以獲得授權(quán)來(lái)訪問(wèn)這些功能。這樣有助于確認(rèn)各種各不同的角色，以便于使訪問(wèn)控制到位。

        3、審計(jì)日記記錄：因?yàn)槟承┕魰?huì)對(duì)企業(yè)造成很大的影響，所以我們有必要去詳細(xì)的了解分析與攻擊有關(guān)的關(guān)鍵業(yè)務(wù)。所以企業(yè)分析與這些業(yè)務(wù)有關(guān)的審計(jì)日志記錄是非常重要的一項(xiàng)。

        4、第三方組建分析：詢問(wèn)并分析企業(yè)是否必須要使用第三方的組建也是一個(gè)重要的問(wèn)題。在此基礎(chǔ)上企業(yè)會(huì)分析與這些組件有關(guān)的一直漏洞，并做出相應(yīng)的建議。

        5、輸入數(shù)據(jù)驗(yàn)證和凈化：正確全面的了解和分析輸入數(shù)據(jù)的屬性，為數(shù)據(jù)的驗(yàn)證和凈化做好準(zhǔn)備性的計(jì)劃是很重要的。這種操作主要是與解決跨站腳本攻擊這類的漏洞有關(guān)。此操作還能有效的避免SQL注入的大規(guī)模發(fā)生。

        6、加密和密鑰管理：其目的是分析是否存在需要保障其安全的業(yè)務(wù)，這些業(yè)務(wù)是否需要握手機(jī)制（即對(duì)每次發(fā)送的數(shù)據(jù)量是怎樣跟蹤進(jìn)行協(xié)商使數(shù)據(jù)段的發(fā)送和接收同步，根據(jù)所接收到的數(shù)據(jù)量而確定的數(shù)據(jù)確認(rèn)數(shù)及數(shù)據(jù)發(fā)送、接收完畢后何時(shí)撤消聯(lián)系，并建立虛連接）。我們?cè)谔幚順I(yè)務(wù)之前，可以使用與公鑰或私鑰的交換有關(guān)的多種技術(shù)來(lái)實(shí)現(xiàn)這種機(jī)制。

        7、源代碼的完整性：這是一種要求在項(xiàng)目的開(kāi)始階段完成的一次性的活動(dòng)。這樣做有兩個(gè)方面的好處：源代碼應(yīng)該存放在一個(gè)有良好保障的控制倉(cāng)庫(kù)中，并且在遵循“最少特權(quán)”的原則前提下，有強(qiáng)健的認(rèn)證和基于角色的訪問(wèn)控制。我們還要關(guān)注源代碼和相關(guān)工具的問(wèn)題。此外，在代碼開(kāi)發(fā)及傳輸?shù)倪^(guò)程中，你還可以分析關(guān)于源代碼容器的工具問(wèn)題以及代碼的保護(hù)問(wèn)題。

        8、源代碼的管理：這也是一種在項(xiàng)目開(kāi)始階段完成的一次性的活動(dòng)。討論源代碼的審查策略是一個(gè)關(guān)鍵性的問(wèn)題，應(yīng)為這種做法會(huì)要求自動(dòng)化的和人工的代碼檢查問(wèn)題，并在一定的程度上會(huì)影響總體的項(xiàng)目時(shí)間（要求進(jìn)行代碼檢查時(shí)間和針對(duì)檢查意見(jiàn)的修復(fù)時(shí)間）。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自：創(chuàng)客迷 > 《web安全》

舉報(bào)/認(rèn)領(lǐng)