信息系统安全
文章平均质量分 86
jiudihanbing
这个作者很懒,什么都没留下…
展开
-
信息系统安全开发注意事项(一)
身份认证类:1、 未提供专用的登录控制模块对登录用户进行身份标识和鉴别存在风险:系统未对用户提供健全的身份确认机制,无法验证登录用户身份的合法性,容易造成系统被恶意用户入侵破坏。措施:提供专用的登录控制模块,实现对登录用户进行身份标识和鉴别2、 未强制要求口令复杂度和口令定期更换,口令明文存储风险:口令抗暴力破解能力查,容易被恶意用户冒用、盗用,导致信息泄露或违规操原创 2013-11-20 21:58:42 · 4204 阅读 · 1 评论 -
信息系统安全开发注意事项(二)
未提供登录超时的处理机制1、 未提供登录超时自动结束会话功能风险:不合理的会话存活时间会导致系统资源长期被占用,会话存在被非法用户冒用并进行重放攻击的可能,即利用系统已收到的合法用户包来达到欺骗系统的目的措施:设计会话存活时间,超时后销毁对话,清除会话信息。2、 系统未限制最大连接数风险:无法抵御DOS攻击及DDOS攻击,一旦遭遇大量恶意连接,即会导致系统瘫痪。原创 2013-11-20 22:02:38 · 2142 阅读 · 1 评论 -
信息安全开发注意事项(三)
接上篇博客(信息安全开发注意事项二)2、 SQL注入漏洞隐患:攻击者利用现有应用程序,将恶意的SQL命令注入后台数据库引擎执行风险:攻击者利用SQL注入漏洞查看、修改或删除后台数据库条目和表,获取用户账户等重要信息,篡改网页内容,设置能完全接管主机。恶意代码示例:String query = “select * from items where owner =’” +原创 2013-11-30 17:42:25 · 1735 阅读 · 2 评论 -
信息安全开发注意事项——最后的尾巴(五)
加密措施不当隐患: 对重要信息部进行加密处理或加密强度不够,或者没有安全的存储加密信息。风险: 攻击者可能利用漏洞窃取用户账户、密码、证书等重要信息。措施1 对所有重要信息进行加密措施2 使用足够强度的加密算法,如AES、RSA措施3 产生密钥与加密信息分开存放措施4 严原创 2013-12-22 19:49:54 · 1284 阅读 · 3 评论 -
信息安全开发注意事项(四)
会话管理设计漏洞隐患:由于应用程序设计不当,攻击者窃取到密码、密钥、session tokens等信息风险:攻击者可以利用会话管理漏洞窃取到密码、会话令牌等信息,进而冒充合法用户身份,获取敏感信息或者进行恶意操作。http://example/ document.cookie=”sessionid=1234;%20domian=.example.dom”;http://exampl原创 2013-12-22 09:11:47 · 2051 阅读 · 2 评论