Day24 系统安全规约

最新推荐文章于 2024-10-16 10:13:45 发布
最新推荐文章于 2024-10-16 10:13:45 发布
阅读量2.6k 收藏
点赞数
文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58803607/article/details/121438875
版权

系统安全规约

  • 权限控制
  • 敏感数据处理规约
  • SQL注入攻击及其预防
  • XSS攻击及其预防
  • 防重、防刷、违禁风控设计实践

权限控制之越权访问漏洞

越权访问漏洞防范措施

1、前后端同时对用户输入信息进行校验、双重验证机制

2、调用功能前,验证用户是否有权限,调用相关功能

3、执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限

4、直接对象引用的资源ID要加密,防止攻击者枚举ID,敏感数据特殊化处理

5、永远不要相信来自用户的输入,对于可控参数进行严格的检查和过滤

垂直越权访问漏洞

普通用户 >>> 普通管理员 >>> 超级管理员 >>> 系统管理员

水平越权访问漏洞

水平越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞。

由于服务器端在接收到请求数据进行操作时,没有判断数据的所属人所属部门而导致的越权数据访问漏洞。


敏感数据处理

指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护

特殊信息授权、特殊信息脱敏、特殊信息加密存取、特殊信息加密传输

数据脱敏的重要原则

保持原有数据特征
保持数据之间的一致性
保持业务规则的关联性
多次脱敏之间的数据一致性

可分为

  • 前端展示脱敏
  • 日志记录脱敏
  • 数据存取加密
  • 数据传输加解密

SQL注入攻击防御

SQL注入常用防御手段:

  • 过滤危险字符
  • 使用预编译语句: JDBC PrepareStatement
  • 参数化查询:Hibernate、Mybatis

XSS攻击防御

输入过滤:单引号、双引号、<、>等

编码转换:HTML实体编码、JavaScript编码

Cookie安全策略:HttpOnly

后端应用防备:XssFilter


重放攻击

使用Sentinel 实现API接口防刷

book&sword
关注
专栏目录
WEB安全之:越权访问
f_carey的博客
07-08 5172
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 越权访问1 越权简介1.1 实验平台1.2 越权漏洞的危害1.3 产生越权漏洞的原因2 水平越权3 垂直越权4 预越权 越权访问(Broken Access Control,简称BAC)是一种很常见的逻辑安全漏洞。可以理解为服务器端对客户提出的数据操作请求过分信任,一个用户一般只能够对自己本身的信息进行增删改.
web安全day16:人人都要懂的OSI和TCP/IP协议簇
小梁的博客
12-19 3680
假设我们正在通过网页浏览器访问微博,当我们在地址栏输入www.weibo.com,敲下回车后,计算机会发生什么呢?从宏观上讲,可以理解为对网址进行了dns解析,得到了ip地址,然后再上网。从微观上讲,则十分复杂,这就会涉及到网络的分层模型。 分层模型 通信需求 两个人聊天,这就是通信的需求,这两个人必须得使用相同的标准,不能一个人讲中文,一个人讲英文,这个标准在网络中被称为协议。 总结就是,通信需求产生了协议标准。 在网络中,一个单独的标准往往不能完全满足我们的通信需求,我们需要定制一系.
越权机制
qq_37456205的博客
08-20 687
这个机制涉及到了银行业务上的某些流程,例如开户。 一、概念 在一般的开户过程中,可能会需要采集脸部信息、短信验证、密码验证以及最后的开户。 在一般的情形之下,每一个步骤都是依次进行的,但是有些不法分子可能会采用某些手段(具体是什么手段呢?反编译!)直接跨越了前几个步骤,从而直接降落至最后的开户环节。 二、机制 为了止跨越行为,我们采取了如下的这套机制: 我们在进行每一个环节的时候,例如在采集脸部信息环节,让其生成token1,并将这个token1返回给APP;进入下一环节短信验证,生成toke
网络安全:水平越权、垂直越权及其范措施
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
06-09 3978
范措施 前后端同时对用户输入信息进行校验,双重验证机制 调用功能前验证用户是否有权限调用相关功能 执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限 直接对象引用的加密资源ID,止攻击者枚举ID,敏感数据特殊化处理 永远不要相信来自用户的输入,对于可控参数进行严格的检查与过滤 实例 水平越权: 一般存在的问题是:用户id这些信息从客户端获取,交易id的增删改查不校验所属用户,这些都是些安全漏洞。 通常的解决办法是:用户信息从服务器session中获取,交易id的增删改查校验所属用户。 .
越权访问(Broken ACCESS Control)说明及解决方案
半夏_2021的博客
04-29 1万+
越权访问(Broken ACCESS Control,简称BAC)是一种很常见的逻辑安全漏洞,是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web 应用十大安全隐患的第二名。 越权访问呢可以理解为服务端对客户端提出的数据操作请求过分的信任,一个用户一般只能对自己本身的信息进行增删改查,然而由于后台开发人员的疏忽,没有 在用户进行增删改查时进行用户判断。忽略了该用户的权限判定,导致攻击账户拥有了其他账户的增删改查。
T31-DAY22(单元测试与系统安全规约
亦疏爱吃肉
11-17 1251
认识单元测试 单元测试是对软件组成单元进行的测试。其目的是检验软件基本组成单位的正确性。 测试对象是软件设计的最小单元:模块,又称为模块测试。 单元测试的AIR原则 单元测试的BCDE原则 功能性测试之边界值测试 常用单元测试框架简介 系统安全规约实践 权限控制之越权访问漏洞 越权访问(Broken AccessControl,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。 越权访问漏洞范措施 水平越权访问漏洞 水平越
孤尽训练营打卡日记day24--系统安全规约
qq_35056844的博客
11-19 2556
前言 现在是大数据的时代,数据是非常重要的,一张照片就有可能泄漏了你的位置信息。在我们的系统中,安全一直是老生常谈的话题,怎么维护我们的系统安全,在我们日常开发中,怎么避免出现安全问题,我们跟着Joel老师继续学习系统安全规约。 权限控制之越权访问漏洞 越权访问(Broken Access Control,简称 BAC) 是web程序中一种常见的漏洞,由于其存在范围广、危害大,被 OWASP 列为Web应用十大安全隐患第二名。 垂直越权访问: 拥有...
Day22T31单元测试与系统安全规约
m0_48415596的博客
11-26 2434
一、单元测试规约 软件测试指的就是通过手工对被测对象进行测试操作。以此来验证实际结果与预期之间是否存在差异。 软件测试目的: 验证软件的正确性 找出软件中的bug 1.单元测试的AIR原则 A:Automatic 自动化 I:Idependent 独立性 R:Repeatable 可重复性 2.BCDE原则 B:Border 边界值测试 C:Correct 正确的输入,并得到预期的结果 D:Design 与设计文档相结合 E:Error 证明程序有错...
工控系统安全 不容忽视的安全领域
Confession 的技术频道
01-23 1379
随着工业化与信息化进程的不断交叉融合,越来越多的信息技术应用到了工业领域。目前,超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。工业控制系统已经成为国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。 工业控制系统安全特点 工业控制系统领域与传统的信息安全领域有很大的不同。工业控制系统强调的是工业自动化过程及相关设备的智能控制、监测与管理,而且更
T31学习笔记Day05
bowama2的博客
11-02 225
第五天 异常处理与日志 在销售业务中,有一个很重要的模块是售后模块,负责客户的不良品处理,纠纷处理,产品维修等等。同样的,在电商代码中,也有一个重要的模块就是异常的处理和日志模块,负责代码的异常信息反馈和预,为系统的稳定运行保驾护航。 JAVA异常的处理流程 当程序发生异常时,jvm会实例化异常对象信息,然后判断该异常是否被try包裹,如果未包裹,JVM直接抛出异常信息,该段代码结束执行。如果被try包裹,进入try catch流程,catch执行完之后判断是否有finally,如果有final
T31实战-Day5:异常处理机制
weicaiweicai的博客
11-02 192
文章目录 前言 一、Java异常机制 1. 使用异常,日志为系统保驾护航 2. C语言的“异常”烦恼 3. Java异常处理流程 4. Java异常处理机制 5. Java异常体系 二、异常处理设计与实践 1. 异常抛出与捕获的原则 2. try-catch-finally流程分析 3. try with resource关闭资源的执行流程 4. 特殊NPE场景及其处理对策 三、日志设计 1. 日志的功能 2. 日志时效性规约 3. 日志记录规约 4. logback框架使用 5. 日志通知 6. 日志输出
IEC870-05-104 传输规约(国电)
热门推荐
GeneralXCK的专栏
11-01 1万+
  目  录1.     介绍2.     一般体系结构3.     规约结构定义规约剖析4.     应用规约控制信息(APCI)的定义4.1       止报文丢失和报文重复传送。4.2       测试过程4.3       用启/停进行传输控制4.4       端口号4.5       未被确认的 I 格式 APDU (k)
越权漏洞风险及解决方案
Java相关领域
03-22 1万+
常见越权有水平越权、垂直越权和数据越权
Web安全原则设计概述
weixin_34233679的博客
06-15 556
Web安全原则1认证模块必须采用暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可配置,支持在锁定时间超时后自动解锁。2对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以止URL越权。...
【C++刷题】力扣-#121-买卖股票的最佳时机
最新发布
会写代码的饭桶
10-16 528
给定一个数组 prices,其中 prices[i] 表示第 i 天的股票价格。假设你可以在第 i 天买入并在第 j 天卖出股票(i ≤ j),设计一个算法来计算你所能获取的最大利润。注意你只能持有一股股票,并且你不能同时参与多笔交易(即在再次买入前必须卖出股票)。
基于SSM班级事务管理系统的设计
2401_87849773的博客
10-15 405
管理员账户功能包括:系统首页,个人中心,学生管理,班委管理,班会组织管理,健康档案管理,党员发展管理,党员培训管理,学生成绩管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。班委账号功能包括:系统首页,学生管理,学生成绩管理,活动信息管理,班费通知管理。服务器:SpringBoot自带 apache tomcat。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发系统:Windows。
Java安卓开发之Fragment开发(通俗易懂版)——第8章
一个脚本小子的博客
10-13 696
FragmentManager中的getSupportFragmentManager()方法不支持Activity,不论是旧版的FragmentManager还是新版的,因此我们要把继承Activity类改成继承AppCompatActivity类。
【SpringBoot的启动、处理请求整体流程(二)】
m0_50149847的博客
10-13 916
同时,如果文章有错误,也欢迎批评指正。本篇文章继之后,可以先阅读第一篇文章。
软件漏洞分析:0day安全前沿与实操技巧
在看雪论坛出的0day安全前几章的介绍下,我们可以清晰地了解到此领域的重要性和深度。引子中的一句话"要成为一个改变“不可能”为“可能”的标点符号",不仅令人深思,更是对软件漏洞分析带来的无限可能性的一种憧憬...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值