目录
1.0
Web 应用系统面临的挑战
1.0.1 什么是安全
1.0.2 什么是威胁,漏洞,和攻击,即之间的关系
1.1
如何完整的设计Web应用系统的安全性问题
1.2
对网络安全的设置
1.3
对服务器的安全的设置
1.4
对Web应用系统的设置
Web
应用系统面临的挑战
在考虑 Web 应用程序安全问题的时候,往往我们会想到网络和主机的安全。在Web应用程序本身的安全考虑的不是那么的完整。在实际生活中,我们往往面对的各种用户,Web应用程序存在的漏洞往往使我们的机密性,安全性,完整性提出挑战。
在这边 ,我们需要补充的几个概念。
什么是安全
安全是对资源的保护,它是一个过程,而资源包含了系统,相关的文件,相关的数据信息,安全是分析基础结构和应用程序,了解和认识要威胁,并了解每个威胁的的风险程度。安全就是对风险有效的管理
什么是威胁,漏洞,和攻击,即之间的关系
威胁 是指所有恶意或可能破坏资源的行为
漏洞 即可能带来缺陷的威胁,而这个缺陷可能有不当的设计,错误的配置,其他的等等的原因产生的
攻击 利用漏洞,来实现威胁
Web 应用程序的安全的三个层次(上图)
在 考虑 Web应用程序的安全性的时候 ,我们往往分三个层次来考虑 网络安全,
主机安全 ,应用程序安全 ,具体的安全的策略在下面具体说明。
对网络安全的设置
在实际网络设计的过程中,网络有以下的几个组建组合而成,路由器,防火墙,交换机
路由器 是网络的最外层,负责数据包的传递,属于数据传输层 ,将数据包传递到指定的端口和协议,在路由器这个组件上 ,我们可以阻止常见的TCP/IP漏洞
防火墙 可以阻断应用程序的不同的协议和端口 ,同时 ,防火墙还可以利用特定应用程序筛选器来阻止恶意通信,加强网络数据的传输的安全
对服务器的安全的设置
主机安全的组成部分(上图)
一般我们需要考虑的服务器安全包含了,数据库服务器,Web应用系统服务器,具体的服务器的安全设置 :如下
下面对上面的各个组成部分进行具体的阐述
修补和更新程序
在这里面包含了 对操作系统的已有的漏洞的修补,也就是常见的系统补丁,及时地安装补丁可以减少攻击者和恶意代码对系统的危害,
服务
对系统现有的服务,根据实际系统所需要的情况,关闭不需要的服务,降低受攻击的面
协议
为了减少攻击者的攻击范围,禁用不需要的或者是不用的协议
端口
在服务器中运行的服务可监听特定的端口来满足传入请求。必须定期了解并审核服务器中的开放端 口,确保不监听不安全的服务,且不使用不安全的服务通信。最坏的情形即发现一个管理员未打 开的监听端口。
共享
删除不需要的共享,同时将共享的内容保存在受限的NTFS的权限下
帐户
控制连接的帐户数目,同时考虑帐户策略
文件和目录
将文件和目录保存到受限的NTFS权限下
注册表
将系统的相关的安全的设置保存到注册表中
审核和日志记录
可以通过审核和日志记录来判断攻击的方式和手段
对Web
应用系统的设置
我们按照实际的Web应用系统操作的流程,来说明牵涉到的相关的安全设置
输入验证
对于输入的数据,我们要判断其有效性和完整性
身份的验证
对登陆的用户进行身份验证,这样的验证的过程往往是根据用户的帐号和密码的过程来实现的
权限
根据用户的身份来,赋予其对应的信息,行为的权限
配置管理
配置管理包含了对系统运行所需要的相关信息的设置,举例:数据库的连接方式,网络服务的路径 ,等等
敏感的数据的信息
敏感数据是应用程序处理需保护数据的方式(或通过网络保存在内存中,或保存在永久存储)。
会话管理
会话管理 为如何的保护用户和系统交互的相关的信息
异常的处理
对系统发生的异常 ,我们往往需要提供一个友好的页面给用户,而对于实际的错误的细节,对于用户是屏蔽的
审核和日志的纪录
应用程序计录系统的相关的事件供后来的问题的分析
532
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
