Web应用安全设计

已于 2024-08-31 16:54:21 修改
阅读量12 收藏
点赞数
分类专栏: Web安全 文章标签: 安全
于 2024-03-05 10:49:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyb3290/article/details/87785646
版权

零、序言

安全是应用的生命

一、目标

首先,思考一个问题,怎样才是一个安全合格的Web应用?

第一条,“黑”不进来;

第二条,易于查找和发现安全问题,易于配置和审计,即安全监控,入侵检测;

第三条,不能牺牲一个好应用的基本特性:稳定性、易维护性、可扩展性、高性能、良好的用户体验。

二、生命周期

        应用设计之初应该设计安全需求,设计合理的安全策略和解决方案;开发中,按照安全开发流程和规范进行,开发后进行代码安全审计,然后做安全测试,上线后安全监控入侵检测漏洞修复运维等。

总结起来,安全设计贯穿软件生命周期全过程。

三、认知与原则

* 信任关系的划分是安全设计的基础

        安全问题的本质是信任问题。

* 访问控制系统是安全设计的核心

        垂直权限一般是基于角色菜单请求路径的;水平权限控制的一般要求是将所操作的数据与用户联系起来;同源策略

* 数据与代码分离是安全设计的重要原则

        代码与数据分离原则的本质还是体现了安全问题是信任问题这一思想。代码是否应该信任数据,或者说代码应该信任怎样的数据,是这个原则的本质。 在应用中,比较好的例子是json、XSLT,这些方法都比较好的做到了数据与代码分离,所以在开发中多使用这些比较好的方法,无形中就提高了安全性。

* 最小权限原则

        “default denied”。 推荐白名单,黑名单很可能漏。

* 合理利用不可预测性

     

最低0.47元/天 解锁文章
lyb3290
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web理论篇】Web应用程序安全与风险
只有不断学习才不会被茫茫人海淹没!
04-19 7048
📢前言 ✅✅博客主页: 花城的包包 🔊🔊欢迎关注🔎点赞👍收藏⭐️留言📝 🔥🔥本文收录于黑客攻防技术全栈系列专栏:30天黑客攻防技术从入门到精通.后续将陆续更新,敬请期待! 📃📃此专栏是专门针对想入门网络安全领域的小白,计划用一个月更完! -🚀🚀 一个人可以走得很快,一群人可以走得更远!快加入我和我一起学习吧! 📧📧只有不断学习才能不被茫茫人海淹没! 💪💪如发现错误,请评论区留言轰炸我,万分感谢! 目录📢前言🌲1.Web应用程序的发展历程🍂1.1 Web应用程序的常见功能🍂1.2 Web应用程序的优.
web应用项目开发
m0_74145332的博客
12-30 2196
Web(World Wide Web)是一种基于互联网的信息系统,它通过超文本和超链接的方式,将各种资源(如文本、图像、视频等)组织起来并通过浏览器进行访问。Web的核心技术是HTML(Hypertext Markup Language),它是一种标记语言,用于描述和布局Web页面的结构。通过HTML,我们可以创建文本、图像、链接等元素,并将它们组织成页面。除了HTML,Web还依赖其他技术,如CSS(Cascading Style Sheets)和JavaScript。
web应用程序发展历程
qq_40480474的博客
03-30 1783
随着Web3.0、社交网络、微博、移动APP、微信小程序等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,网站内的信息可以直接和其他网站相关信息进行交互和倒腾,能通过第三方信息平台同时对多家网站的信息进行整合使用。用户在互联网上能拥有自己的数据,并能在不同网站上使用,用浏览器即可以实现复杂的系统程序才具有的功能。 Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web...
web平台安全测试方案
PengDQ12的博客
07-27 6500
收集测试的资料平台网页的URL,用户名以及密码(最好不是超级用户,可以测试越权),Web服务器的IP(可以提供服务器的远程登录账号,以便观察测试过程中对服务器的性能影响)。需要告知开发此次测试的时间,沟通好后才能进行安全测试,并且将测试的范围,方法和相关风险提前告知,及时做好相关数据代码、环境的备份。可以选择自定义,点击”完全扫描配置“可手动修改/自定义你的测试策略,自定义后,点击应用和确定,然后点击下一步。点击“报告”按钮,选择报告模板、报告内容、布局等内容(按照需求选择),点击“保存报告”按钮,...
Web应用安全测试
a963241242的博客
08-28 7471
https://blog.csdn.net/aojie80/article/details/43836521   缩略语清单 缩略语 全称 CRLF \r\n回车换行 LDAP Lightweight Directory Access Protocol 轻量级目录访问协议 ...
Web应用系统的安全设计
10-24
探讨了Web应用系统的安全问题,阐述了防火墙技术、身份验证技术、ASP.NET程序安全设计、数据加密技术等实现Web应用系统安全设计的技术。
WEB应用安全设计模式.pdf
12-12
WEB应用安全设计模式 文件打开密码:2009.11.12
Web应用安全开发规范-V2.0.doc
08-03
Web应用安全开发规范-V2.0》是针对Web应用安全开发的重要指南,旨在提供一套系统性的安全开发标准,防止常见的网络安全威胁。本规范详细涵盖了背景介绍、技术框架、使用对象、适用范围以及用词约定等多个方面,并...
光盘安全隔离与信息单向导入系统-信刻
cdprinter的博客
08-30 102
为更多用户提供安全可靠的跨网数据单向导入/导出光盘摆渡系统解决方案,解决内外网数据交换的问题,确保数据交换过程的安全性。
网络安全售前入门08安全服务——Web漏洞扫描服务
打工人
08-31 645
Web漏洞扫描服务主要针对应用系统漏洞进行扫描,主要包括扫描WEB服务器(IIS、Websphere、Weblogic、Apache等)的漏洞;识别数据库类型;扫描第三方组件的漏洞;检测常见的WEB应用弱点,支持OWASP TOP 10等主流安全漏洞。
海外直播对网速、带宽、安全的要求
TIANGEKUAJING的博客
09-03 159
要满足海外直播的要求,需要拥有合适的网络配置。在全球化的浪潮下,海外直播正逐渐成为企业、个人和各类组织的重要工具。不论是用于市场推广、品牌宣传,还是与观众互动,海外直播都为参与者带来了丰富的机会。然而,确保高质量的直播效果,必须满足特定的网络条件。
【软件逆向】第27课,软件逆向安全工程师之(二)寄存器寻址,每天5分钟学习逆向吧!
DvlpNews
09-02 471
寄存器寻址是汇编语言中的一种寻址方式,在这种方式中,操作数位于CPU的寄存器中。寄存器是CPU内部的高速存储位置,用于快速访问数据。
注册安全分析报告:央视网
Explinks的博客
09-03 403
央视网作为中央广播电视总台主办的中央重点新闻网站和国家级互联网视频综合传播服务平台, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。
高端控制台使用过程中如何保证用电安全
JiaDeLi_console的博客
09-03 294
因此,在使用过程中,采取有效措施确保用电安全,不仅关乎设备寿命,更直接关系到人身安全及数据安全。同时,增强员工的安全意识,让每个人都成为用电安全的守护者,共同营造一个安全、稳定的工作环境。在高端控制台的使用过程中,可以引入智能监控系统,实时监测电力参数、环境温度等关键指标,一旦发现异常立即报警,为及时处理问题提供有力支持。总之,高端控制台使用过程中的用电安全是一项系统工程,需要从电源布局、设备选型、日常维护、人员培训以及智能监控等多个方面入手,全方位、多角度地确保用电安全,为设备的稳定运行保驾护航。
在线式环氧乙烷检测仪:现代工业生产中的环氧乙烷安全监测
iotsensor的博客
09-03 370
通过精确、可靠的监测,这些设备能够及时发现并预警环氧乙烷的泄漏风险,有效避免火灾、爆炸等安全事故的发生,从而保障生产环境的安全与员工的健康。:ETO-B1电化学传感器具有灵敏度高,选择性好,可以过滤灰尘和小水滴,低浓度输出线性好,稳定性好,7系大小,抗H2、NH3、CO2、CL2的干扰等优点,量程为0~100ppm,工作环境为-30~50℃,15~90%RH,分辨率为0.1ppm,主要用在石油,化工,检测工业环境中的VOC气体。因此,对于环氧乙烷的安全管理,必须采取严格的监测措施。
AWS EC2安全组配置:轻松开放端口访问
九河云的创作之路
09-03 351
选择要开放的协议类型(如TCP、UDP等),输入端口号,然后在来源处选择允许访问的IP范围。通过以上步骤,您可以轻松管理EC2实例的端口访问,既保证了服务的可用性。记住,定期检查和更新安全组配置是保持EC2实例安全的关键。点击左侧导航栏中的"安全组",找到对应实例的安全组。选择该安全组,点击"编辑入站规则"。在AWS EC2实例上开放特定端口是配置服务器安全性和可访问性的重要步骤。在EC2控制面板中,找到需要开放端口的实例,并记下其安全组ID。添加完所需的规则后,点击"保存规则"以应用更改。
分享 | 某省级城商行用零信任破解远程访问安全风险
trusfort的博客
09-03 307
L行的此次改造一箭三雕,切实提升了企业的身份安全、远程访问安全、数据安全水平,为企业的零信任建设树立了标杆。统一门户与安全接入系统投入使用后,L行有效提升身份安全、远程访问安全、数据安全水平,利用零信任强化了安全防护体系,既提升了网络安全能力,保障了数字化业务安全稳定运行,也为员工提供了更好的体验,提升了办公、运维效率。向上对接权威身份源,向下对接各个业务应用,接管应用的身份管理功能,为所有应用提供统一的员工身份和组织架构信息,进而实现对业务应用身份认证、访问权限、审计日志的统一管理。
第140天:内网安全-横向移动&局域网&ARP欺骗&DNS劫持钓鱼&中间人单双向
最新发布
weixin_71529930的博客
09-03 333
dns会优先从本地缓存>host文件>本地dns服务器>根域dns服务器>顶级dns服务器>权威dns服务器。这个实验的原理应该就是告诉dns我时被控主机,告诉被控主机我是dns,开启转发的话,还能正常访问,关闭的话就不行了。原理:一台主机不停的向另一台主机发送数据包,并告诉他我是网关,我的ip是网关ip,mac地址却不对应,导致被攻击主机找不到网关,就没有网络。双向原理: 就是告诉网关,我是被控制的主机,告诉被控制主机,我是网关,如果开启转发的话,那么流量都会通过攻击主机。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值