制作安全网站的checklist

最新推荐文章于 2022-12-02 12:19:42 发布
最新推荐文章于 2022-12-02 12:19:42 发布
阅读量104 收藏
点赞数
文章标签: SQL JavaScript 脚本 应用服务器 PHP ViewUI
原作者charlee、原始链接 http://tech.idv2.com/2008/04/19/secure-website-checklist/

 

<script type="text/javascript"></script> <script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"> </script> <script> window.google_render_ad(); </script>

fcicq最近在IPA上看到一篇安全相关的文章,它的最末尾有个checklist,于是催我把它翻译了。前几天比较忙,周末没什么事儿了,就翻译一下吧。

 

原文的标题是如何让网站更安全。这里仅翻译文章最后的一个checklist。

 

2008/4/20更新:fcicq倒是神速啊,马上就把具体的应用策略扔出来了 

 

参考:PHP 实践 Security Checklist

 

标有 (*) 的检查项目表示该项是针对相关问题的根本解决方法,应当尽最大努力去完成这些内容。未标 (*) 的项目,表示该项并不能完全消除安全隐患,只是说通过这种方法可以避免发生安全问题。最后一条似乎没什么意思,不翻译了。

  1. SQL注射
    1. (*) 在组合SQL语句时要使用SQL变量绑定功能
    2. (*) 如果数据库不提供变量绑定,那么需要对构成SQL的所有变量进行转义
    3. 不要将错误信息原封不动地显示在浏览器中。
    4. 为访问数据库的用户设置适当的权限。
操作系统命令行注射
  1. (*) 避免使用能启动shell命令的语言
  2. 使用的语言如果允许启动shell命令,则需要对该功能的参数种的所有变量进行检查,确保只包含合法的操作
不检查路径名参数/目录遍历
  1. (*) 不要将外部传进来的参数直接作为文件名来使用
  2. (*) 将打开文件的操作限制在固定的目录中,并禁止文件名中包含路径
  3. 为Web服务器上的文件设置正确的访问权限
  4. 检查文件名
会话管理的问题
  1. (*) 用难以推测的内容作为会话ID
  2. (*) 不要在URL中保存会话ID
  3. (*) 为https协议中使用的cookie设置secure属性
  4. (*) 登录成功后生成新的会话
  5. (*) 登录成功后,在会话ID之外再生成一个秘密信息,每次访问页面时都检查之
  6. 不使用固定值作为会话ID
  7. 将会话ID保存到Cookie中时,要设置有效期限
跨站脚本攻击(XSS)
  • 不允许输入HTML内容时的解决方法
    1. (*) 输出到页面上的所有内容都要转义
    2. (*) 输出URL时仅允许以“http://”或“https://”开头的URL
    3. (*) 不要动态生成<script>...</script>的内容
    4. (*) 不要从外部网站读入样式表
    5. 检查输入内容
允许输入HTML内容时的解决方法
  1. (*) 解析输入的HTML内容,生成解析树,然后提取其中的非脚本部分
  2. 使用脚本删除输入的HTML内容中的相关字符串
通用解决方法
  1. (*) 应答的HTTP头重指定Content-Type的charset属性
  2. 为避免Cookie情报泄漏,应禁止Trace方法,并对所有Cookie设置HttpOnly属性
跨站请求伪造(CSRF)
  1. (*) 所有页面都通过POST来访问,在前一页面的hidden中随机生成一个信息,提交后的页面检查该信息,正确时才予以执行
  2. (*) 执行业务之前再次要求输入密码
  3. (*) 确认Referer是否正确,只有正确时才执行
  4. 执行重要操作时,向预先设置的邮件地址中发送邮件
HTTP头注射
  1. (*) 不直接输出HTTP头,而使用运行环境提供的头信息输出API
  2. (*) 无法使用API时,要禁止输入的头信息中的换行
  3. 删除所有外部输入中的换行
邮件盗用(通过某种手段使邮件发送到攻击者指定的地址)
  1. (*) 不使用外部参数作为邮件头信息
  2. 必须用外部参数设置头信息时,要删除其中的危险字符。
leonard61306500
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Checklist:网页设计清单
07-09
方块滚动 Block scroll 是一个 jQuery 插件,可以将一组 元素进入一个块并一次显示一个屏幕。 这个想法是将您的页面分解为更好的呈现和用户流程的块。 Block Scroll 会自动使您的页面具有响应性。 文档可以在这里找到: : 特征 可以使用键盘、滚动条、按钮或鼠标滚轮来执行上下移动*。 同样,该设计具有响应性,只要您不超载每个块,它就会自动调整到任何合理的分辨率。 页面是粘性的,这意味着它们会自动调整到屏幕的垂直中心。 外观和感觉可通过 css 和初始化设置进行自定义。 只要您为它们使用正确的 id 名称,向上和向下按钮就会自动连接。 您可以在初始化后使用 javascript 更改活动块的位置。 演示
FrontEndChecklist针对现代网站和开发人员的完美前端检查清单checklist
08-08
Front-End Checklist:针对现代网站和开发人员的完美前端检查清单(checklist)
Web测试Checklist
zj0910
11-12 1154
页面元素 1 焦点定位 页面初始化后,焦点是否定位在第一个可输入表单的第一个输入框上       回车响应是否在当前焦点定位所在的表单的提交按钮上       输入校验发现错误时,输入焦点是否定位在第一个错误的输入框中,并且该输入框中文本处于全选状态       2 快捷键 Tab移动焦点顺序从左到右,从上到下      
APP安全测评checklist
weixin_30362083的博客
03-13 596
leader不要打我啊,我要借用一下我组app的安全测评检查方案,这些最基本的安全防范措施应该是每个app都要注意的吧: 对了,首先,你的app得先混淆啊~:AndroidStudio 混淆打包 先来个checklist: 编号 检查项目 测评结果 1 明文传输用户名、密码和验证码等敏感信息。 2...
制作安全网站checklist(转)
12-20 251
<br />标有 (*) 的检查项目表示该项是针对相关问题的根本解决方法,应当尽最大努力去完成这些内容。未标 (*) 的项目,表示该项并不能完全消除安全隐患,只是说通过这种方法可以避免发生安全问题。<br />SQL注射<br /> (*) 在组合SQL语句时要使用SQL变量绑定功能 <br /> (*) 如果数据库不提供变量绑定,那么需要对构成SQL的所有变量进行转义 <br />不要将错误信息原封不动地显示在浏览器中。 <br />为访问数据库的用户设置适当的权限。 <br /> <br /
应用系统安全自检checkList
04-16
应用系统安全自检checkList
交易业务相关安全checklist.xlsx
04-06
主要是针对金融交易方面的业务安全做的一个checklist,不包括通常意义上的Web安全如:SQL注入等
金融科技SDL 安全设计checklist
04-11
金融科技SDL 安全设计checklist,输入验证,输出编码,异常处理,I/O操作,身份认证,短信验证码,图形验证码
安全网站策略之_checklist
04-05
在网络安全日益重要的今天,"安全网站策略之_checklist"是一个非常关键的话题。这份资源,链接为,提供了一份详细的网站安全检查清单,旨在帮助网站管理员和开发者确保他们的在线资产免受潜在威胁。标签"源码"和...
安全加固-checklist
01-08
信息安全加固的checklist,从绿盟的基线拿出来的,当然有些是错误的、还有些不准确等等,作为参考还是不错的。
Windows系统安全排查
weixin_34342578的博客
03-02 597
Windows系统安全排查内容主要包含以下内容:查看用户信息是否存在非法账号信息?命令:NET LOCALGROUP\NET USER\NET GROUP排查系统服务是否存在恶意添加服务项?排查系统进程是否异常命令:TASKLIST /SVC查看系统日志是否存在异常登录操作?登录成功事件ID:4648排查计划任务是否存在可疑计划任务?命令:SCHTASKS /Query /F...
常见网站漏洞checklist
qq_52612931的博客
12-02 163
文章来源:Wangfly博客 原文地址:https://www.hui-blog.cool/posts/97ef.html 前言 在做网站渗透之前除了关注一些通用漏洞,这些漏洞通常能很容易的利用扫描器扫出,被WAF所防护,然而有一些逻辑漏洞WAF和扫描器就无法发现了,就需要人工来测试,根据各行业的特点总结了下网站的常见漏洞checklist 互联网行业 p2p 金融行业 电商行业 政府行业
[项目管理]Checklist(持续更新)
weixin_34023982的博客
03-30 1344
将大项目切割,有助于降低风险并便于调整与优化 非重要的功能break不能block其他流程的继续 使用开关(数据库,配置文件)降低风险或配合业务场景 Coding开始前必须明确Data Contract定义 Sprint planing需细分task增加工时估算的准确性 时间估算需得出总工时和人均工时,并分别统计出各人耗时以免不合理分配 ...
数据分析的核心技能和方法
07-19
数据分析的核心技能和方法
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包
07-19
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 平湖人寿保险公司保险销售网站分为用户和管理员两个部分 前台部分(用户界面): 1、资讯浏览功能: (1)新闻资讯浏览 (2)新闻资讯查询 (3)公司简介 (4)通知公告 2、用户登录注册功能: (1)注册 (2)登录 3、用户管理功能 (1)个人信息管理 (2)订单管理 4、保险购买功能: (1)保险产品浏览 (2)保险产品查询 (3)保险产品购买 后台管理(管理员界面) 1、管理员登录功能: 管理员在管理员登录界面输入用户名和密码,即可登录管理员的界面。 2、资讯管理功能: (1)新闻资讯管理 (2)公司简介管理 (3)通知公告管理 3、保险产品管理: (1)保险产品信息管理 (2)保险产品查询 4、会员管理: (1)会员删除 (2)会员级别管理 5、统计管理: (1)保险产品销售量统计 (2)有效会员数量统计 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程
毕业设计javajsp公共课考试系统(ssh)-qlkrp源码工具包
最新发布
07-19
毕业设计javajsp公共课考试系统(ssh)-qlkrp源码工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 题库 试卷信息管理 阅卷 统计功能 包含:源码、数据库脚本、环境工具包、相同框架项目的安装教程(在说明文档中)
揭秘黑箱:YOLO预测结果的可解释性探究
07-19
YOLO(You Only Look Once)是一种流行的实时对象检测系统,最初由 Joseph Redmon 等人在 2015 年提出。它的核心思想是将对象检测任务视为一个回归问题,直接从图像像素到边界框坐标和类别概率的映射。YOLO 以其快速和高效而闻名,特别适合需要实时处理的应用场景。 以下是 YOLO 的一些关键特点: 1. **单次检测**:YOLO 模型在单次前向传播中同时预测多个对象的边界框和类别概率,不需要多次扫描图像。 2. **速度快**:YOLO 非常快速,能够在视频帧率下进行实时检测,适合移动设备和嵌入式系统。 3. **端到端训练**:YOLO 模型可以从原始图像直接训练到最终的检测结果,无需复杂的后处理步骤。 4. **易于集成**:YOLO 模型结构简单,易于与其他视觉任务(如图像分割、关键点检测等)结合使用。 5. **多尺度预测**:YOLO 可以通过多尺度预测来检测不同大小的对象,提高了检测的准确性。 YOLO 已经发展出多个版本,包括 YOLOv1、YOLOv2(也称为 YOLO9000)、YOLOv3、YOLOv4 和 YOLOv5 等。
安全设计checklist
06-22
安全设计checklist是指在进行产品或系统设计时,按照一系列标准和规范,对设计方案进行全面的安全性检查和评估。这样可以确保产品或系统在运行过程中不被攻击或利用漏洞,从而保护用户信息的安全和隐私。 安全设计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值