关于网络安全的 secure by default

最新推荐文章于 2024-04-15 21:10:24 发布
最新推荐文章于 2024-04-15 21:10:24 发布
阅读量6.2k 收藏 3
点赞数 2
分类专栏: 网络安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lin___/article/details/52014258
版权

 周末有空看了下web 安全方面的资料,了解下网络安全的 secure by default 原则

1、黑名单 白名单原则

尽可能使用白名单,不使用黑名单。例如:要做限制过滤的时候,只提供一份可信任的白名单列表,比提供一份不可信任的黑名单

列表进行过滤要有效得多。另外,在白名单中应小心* 等通配符的使用。 

2、最小权限原则

即是要注意系统只授予主题必须的权限,而不是过度授权。这样能有效减少系统,数据库,网络,应用等出错的机会。

3、纵深防御原则

两层含义:

        A:在不同层面,不同方面实施安全方案。

例如:在设计安全方案时,尽可能考虑到web应用安全,os系统安全,数据库安全,网络环境安全等不同层面。共同组成防御体系。

B:在正确的地方做正确的事情,即是要在解决根本问题的地方实施有效的针对性的方案。

例如在对用户输入的html进行过滤时,要先进行语法树的分析,而不是粗暴的进行< 等过滤,以免造成用户本意想表达如1<2的意思。

4、数据与代码的分离

像HTML injection  sql injection

最低0.47元/天 解锁文章
lin___
关注
专栏目录
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
Security_By_Default:MyBatis框架下SQL注入解决方案.pdf
08-11
背景与现状 初阶安全实践 最佳安全实践:Security By Default
Secure By Default 原则
xiaotao2010的专栏
01-14 1586
设计安全方案中,最基本的也是最重要的原则就是“Secure By Default
Solaris 的 Secure by Default
老饿鱼的地盘
02-21 3239
Solaris 10 从update 3 开始,增加了一个Secure by Default特性,这个功能如果开启的话,就会关闭一些不常用或者容易受攻击的服务,比如常用的telnet, ftp等。 在OpenSolaris新版上,都是默认开启的。在Solaris上,会在安装的时候提示,由用户选择是否启用或者关闭。 在实际使用中,经常使用系统的人不是负责安装的,所以经常用户纳闷telnet, f
信息安全 默认安全原则 学习笔记
securitypaper的博客
06-05 774
默认安全是通过正确配置软件所依赖的组件,以及在系统运行环境中添加的安全防护措施,来减少系统漏洞的数量,提高漏洞利用门槛,降低漏洞的危害,以确保应用程序初始状态下处于安全状态...
互联网计算机遵循原则,互联网安全策略的实施需要遵循哪些原则
weixin_32407355的博客
07-24 527
随着互联网的不断发展,企业对网络安全的关注程度也在不断的提高,下面我们就一起来了解一下,安全策略的实施需要遵循哪些原则。1、Secure By Default 原则设计安全方案的基本原则,中文翻译“默认安全”不太好理解,其实就包含两层含义:白名单/黑名单思想,和小权限原则。两者从字面就比较好理解,这里必须特别强调一下“尽量更多的使用白名单,少用黑名单”,这样可以保证安全的范围可控,权限小。比如制定...
信息安全_数据安全_Secure by Default:Enabling Devel.pdf
08-22
信息安全_数据安全_Secure by Default:Enabling Devel web安全 数据安全 法律法规 安全架构数据分析
网络安全实验教程【3.3】
最新发布
qq_43416206的博客
04-15 1050
网络安全协议是网络安全的一个重要组成部分,通过网络安全协议可以实现实体认证、数据完整性校验、密钥分配、收发确认及不可否认性验证等安全功能。按照安全协议完成的功能可以分为以下三种协议。( 1)密钥交换协议。一般情况下是在参与协议的两个或者多个实体之间建立共享的密钥,这通常用于建立在一次通信中所使用的会话密钥。( 2)认证协议。认证协议中包括实体认证(身份认证)协议、消息认证协议、数据源认证和数据目的认证协议等,用来防止假冒、篡改、否认等攻击。( 3)认证和密钥交换协议。
「业务风控」攻防新思路_RASP方案实现应用预设安全_Secureby_Default - 安全体系.zip
11-27
《业务风控:RASP方案实现应用预设安全与Secure by Default的安全体系》 在当前数字化高速发展的时代,网络安全已经成为企业生存和发展的重要基石。业务风控,即业务风险控制,旨在通过科学的方法和技术,防止和...
网络安全(二)安全基础
weixin_42962634的博客
12-17 2614
互联网本来是安全的,自从有看研究安全的人之后,互联网就不安全了。--道哥
“如何Web安全”?
weixin_34161083的博客
01-20 249
从勒索病毒就可以看出,其实病毒离我们并不远…… 一、引言 随着对黑客浅略地了解,慢慢知道了这个鬼东西是一个多么可怕的存在。 希望能通过这篇文章,让一些和之前的我一样没有对黑客一词引起重视的人,加深一下对这方面的了解和关注! 接下来就以第一人称 “我们” 来代表黑客,谈谈Web安全吧(个人拙见)! 二、小试验 为达到抛砖引玉的效果,我们来动手做个小试验,用简单的方法进入网站后台管理系统,只需三步: ...
安全架构设计思想
jiangbb8686的博客
10-21 1036
安全三要素 - 机密性 机密性(Confidentiality)要求保护数据内容不能泄露,加密是实现机密性要求的常见手段。 - 完整性 完整性(Integrity)要求保护数据内容是完整、没有被篡改的。常见的保证一致性的技术手段是数字签名。 - 可用性 可用性(Availabity)要求资源是“随需而得”。 设计原则 Security by default原则 设计安全方案中最基...
网络安全领域内的资格认证相关
热门推荐
GreatSecure的博客
08-17 1万+
随着全球性信息化的深入发展,信息网络技术已广泛应用到企业商务系统、金融业务系统、政府部门信息系统等,由于Internet具有开放性、国际性和自由性等特点,因此为保护机密信息不受黑客和间谍的入侵及破坏,各系统对网络安全的问题日益重视,在此方面的投资比例亦日趋增大。为此,建立一套统一的标准,培养合格的信息安全专业人员来应付网络安全的需要显得尤为迫切。 不可否认,实际工作中公司看重的是工作能力和经验,但资格认证是不可缺少的敲门砖,有个认证才有机会找到好的工作。天赋异禀、无师自通、能力出众的大牛请绕过。 现在来
白帽子讲web安全笔记
LYX_WIN
05-12 541
一、Secure By Default原则 1、黑名单和白名单 比如,在制定防火墙的网络访问控制策略时,如果网站只提供 Web 服务,那么正确的做法 是只允许网站服务器的 80 和 443 端口对外提供服务,屏蔽除此之外的其他端口。这是一种“白 名单”的做法;如果使用“黑名单”,则可能会出现问题。假设黑名单的策略是:不允许 SSH 端口对 Internet 开放,那么就要审计 SSH 的默认端口:22 端口是否开放了 Internet。但在实际 工作过程中,经常会发现有的工程师为了偷懒或图方便,私自改变
白帽子讲WEB安全读书笔记(慢慢更新)
温柔小薛的博客
03-23 1453
道哥写的白帽子讲WEB安全的读书笔记
网络安全(二)
zxygenesis的博客
12-16 392
防火墙 防火墙是一种集成的安全措施集合,旨在防止对网络计算机系统未经授权的访问。 防火墙基于的预定义规则集称为防火墙策略。 流经防火墙的数据包会有以下三种结果: 接受:允许通过防火墙; 丢弃:不允许通过防火墙,且无失败指示; 拒绝:不允许通过防火墙,并试着通知源端,数据包已被拒绝。 防火墙处理数据包的策略是基于被检查数据包的一些特性,包括所使用的协议: TCP或UDP; 源IP地址或目的IP...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8469
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值