一、了解web安全
我们平时开发一般注重功能技术,而忽略了安全架构,对于怎么开发出一个安全的web项目,我认为有必要做一个学习与总结。
对于web安全,主要分为两大特性:
①私密性:数据不会被非法获取和利用,一般经过授权才可以访问。
②可靠性:数据不会丢失、损坏、篡改。
对于安全问题,一般关注三个层面:①代码层面 ②架构层面 ③运维层面
二、常见的安全问题:
①用户身份是否被盗用(是否真的是用户自己做的操作?)
②用户的密码是否安全(用户的密码是否泄露了呢?)
③用户的资料是否安全(用户资料是否会被盗取?如用户的手机号、身份证号、邮箱账号等资料)
④网站的数据库是否泄露
具体web安全攻防技术:
①跨站脚本攻击XSS
②跨站请求伪造攻击CSRF
③前端Cookies的安全性(熟悉Cookie特性与安全性)
④点击劫持(利用用户身份,在用户不知情情况下,完成某些操作的一种攻击手段)
⑤传输过程的安全性问题(前后端交互过程是否被窃听、数据是否被篡改等等)
⑥用户密码安全性问题(在系统设计时候,如果保证用户密码的安全性)
⑦SQL注入攻击(在进行数据库查询时候,如何避免SQL注入攻击,保证网站用户的数据安全)
⑧信息泄露与社会工程学(了解信息泄露的渠道及信息一般会被如何利用)
未完待续......