如何提升Web项目安全性(经验小结)

置顶 已于 2022-12-05 11:21:37 修改
阅读量2.2k 收藏 6
点赞数 2
文章标签: java 安全 web安全 系统安全 c#
于 2022-07-06 13:13:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43645811/article/details/125635754
版权

文章目录

前言

本文小结一下我做Web项目设计和开发以来,所用到的提升系统安全性的策略和方法。

一、网络、传输

1、IP白名单,IP黑名单

2、用Https代替Http,相关内容可参考我的这篇文章

3、更安全的数据摆渡方式(比如:用光盘刻录和摆渡涉密数据)

二、前端、后端

1、Token校验用户身份
比如:在.Net Core里使用JWTToken

        /// <summary>
        /// 首页列表接口
        /// </summary>
        /// <returns></returns>
        [Authorize(Policy = "AllUser")]
        [HttpGet, Route("GetFirstPageList"), ProducesResponseType(typeof(FirstPageResult), 200)]
        public Task<IActionResult> GetFirstPageList()
        {
            string token = HttpContext.Request.Headers["Authorization"];

            return ExecuteGetAsync(() =>
            {
                return Ok(_achievementService.GetFirstPageList(token));
            });

        }

在这里插入图片描述

2、USBKey登陆(类似于银行的U盾)

3、验证码–图形验证码、滑块验证等

4、前端反爬虫

5、后端Web API安全策略(比如:限制单用户单日的访问次数、限制单用户单日访问数据的总量)

6、记录操作日志

7、贯穿在系统设计和系统开发全流程中的数据加密、解密策略(该策略和下面提到的数据库层面的“透明加密策略”的核心都是对数据进行加密)

三、数据库、运维

1、保证服务器磁盘上的数据库源文件是已经经过加密的

数据库源文件为什么需要加密:我们的项目一直使用的是SQL Server,在某些场景下,数据源文件存在被直接从服务器磁盘上拷贝走的风险,而且数据库源文件是明文加密的,很容易被还原

对数据库源文件加密的具体方法:方法一:SQL Server自带的透明加密策略、方法二:透明加密中间件、方法三:某些第三方数据加密软件(比如:亿赛通)等

2、保证磁盘上的缓存数据等中间数据是已经加过密的(原理同上一条)

3、代码混淆,防止代码反编译

4、代码中或者文件中的敏感数据(数据库连接字符串、第三方应用的账号和密码等)加密

5、数据库安全技术

数据库安全技术主要包括:数据库漏洞扫描、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统等。

Jungle19931004
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端安全:如何保障 Web 应用程序的安全性
前端-尔嵘
03-14 700
以上是一些前端安全的基础知识和实践方法,但是仅仅依靠前端安全是远远不够的。在 Web 应用程序中,还需要考虑服务器安全、数据库安全、网络安全等多方面的问题。因此,建议采用全方位的安全策略,保障 Web 应用程序的安全性和稳定性。
PHP 编程安全性小结
12-17
因此,保持代码简洁明了,使用注释和文档来解释代码逻辑,是提升代码安全性的关键。 **规则 4:“纵深防御”** 纵深防御策略意味着采取多重保护措施,即使某一层次的安全措施被绕过,还有其他防线可以防止攻击。...
Web安全测试经验
sd2131512的专栏
05-29 1161
前言: 一个偶然的机会,有幸邀请到了一家国外专门做web安全的公司来对自己的web系统做安全测试。4周下来,我与几位安全专家多次沟通,完成了对自己系统的威胁建模,渗透测试,白盒测试,一共发现了28个漏洞。经验宝贵,因此有必要好好总结下。 Web应用程序是一个生态系统,从上至下包括Web Applications,Third-party Components,Web Server Con
提高Web程序安全性的17种方法
追梦痴人(ASP,C#,DotNet)
01-22 2325
                          提高Web程序安全性的17种方法1.做程序规划时,把不同的文件类型放入不同的文件夹,如htm页放入Static文件夹,asp页放入Dynamic文件夹,inc及,mdb类型放入Include文件夹,以便对不同文件夹,设置不同的访问权限2.设计数据库时,把不同的信息存入不同数据库中。这样即使其中一个数据库被攻破,保存在其它数据库中的信息还是安全的3
idea新建一个web项目_快速搭建一个高效、安全的企业级web项目
weixin_39618456的博客
12-01 201
01背 景随着互联网和浏览器的发展,越来越多的项目采用了B/S的模式。Spring Boot是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置,极其简化了开发项目的搭建。02项目的目标本文将详细讲解如何使用Spring Boot+Mybatis+Shiro+JWT+VUE.JS搭建一个高效、安全、前后端分离的分布式...
如何保障web安全及完整性
m0_49521873的博客
05-25 481
5. SQL注入和XSS攻击保护:防止SQL注入和XSS攻击是非常重要的,可以通过使用参数化查询和编码输入数据(如HTML编码)防止这些攻击。综上所述,保障Web安全和完整性保护需要从多个方面入手,包括密码管理、软件更新、用户认证和授权、防护攻击等方面,同时也需要加强网络安全意识。这可以确保信息传输的完整性和安全性。8. 网络安全培训:为管理员和用户提供网络安全培训,以便他们了解最新的安全威胁和如何保护他们的系统。3. 更新软件:经常更新和维护web应用程序和相关软件,以防止任何已知的漏洞和安全问题。
MSSQL安全设置的具体步骤和方法小结
12-15
其次,修改默认的1433端口并隐藏SQL Server服务是提升安全性的重要手段。默认的1433端口是SQL Server的监听端口,通过更改这个端口,可以减少恶意扫描和攻击的风险。同时,禁用TCP/IP筛选中的1433端口,可以进一步...
Web应用安全:Livehttpheader插件介绍.docx
06-17
小结 LiveHttpHeaders 是一个功能强大且灵活的 Firefox 扩展,旨在帮助安全测试者和开发者测试 Web 应用程序的安全性。 LiveHttpHeaders 的主要功能包括 HTTP 流量分析、请求重放和报文修改。通过 LiveHttpHeaders...
白帽子讲Web安全
03-19
《白帽子讲web安全》  第一篇 世界观安全  第1章 我的安全世界观 2  1.1 web安全简史 2  1.1.1 中国黑客简史 2  1.1.2 黑客技术的发展历程 3  1.1.3 web安全的兴起 5  1.2 黑帽子,白帽子 6 ... 1.8 小结 22
Ajax的小贴士使用小结
10-30
Ajax,即Asynchronous JavaScript...总之,Ajax能为Web应用带来更流畅、响应更快的用户体验,但同时也需要处理好编码、兼容性和安全性等问题。通过选择合适的库、理解浏览器行为并有效调试,可以构建出优秀的Ajax应用。
python Django web 实训项目的实验报告
最新发布
06-16
Django是一个高效且强大的Web开发框架,它以其高度集成化、MVT(Model-View-Template)设计模式以及内置的安全性和性能优化而备受青睐。 ### 1. Django Web框架介绍 Django是一个开源的Web框架,遵循"DRY"(Don't ...
redis简单介绍及安装使用小结
12-16
`logfile`指定了日志文件路径,`dir`设置了数据存储目录,`appendonly`设置开启AOF持久化,`appendfilename`定义AOF文件名,`appendfsync`则调整同步策略以平衡性能和安全性。 Redis的数据类型丰富多样,如: 1. *...
对PHP PDO的一些认识小结
12-19
它提供了一种数据访问的统一方式,使得开发者能够...同时,它的预处理语句支持和事务处理能力为应用程序的安全性和可靠性提供了保障。在实际开发中,合理利用PDO可以提高代码的可读性和可维护性,降低出错的可能性。
php中各种定义变量的方法小结
12-19
在`php.ini`中设置`disable_functions = phpinfo()`,然后重启Web服务器,可以禁用`phpinfo()`函数,以提高安全性。 以上就是PHP中定义变量的各种方法,理解并掌握这些知识对编写高效、安全的PHP代码至关重要。在...
WEB项目安全性注意事项
左直拳的马桶_日用桶
04-25 1372
近期接受了一个维护项目,客户组织了一次第三方安全测试,发现了一些问题,需要整改。整改内容,操作系统、数据库、代码都有涉及。整改过程中,我们自己也深受教育。现将代码部分的整改内容及相关措施整理如下: 一、任意类型的文件上传 【高危】 【描述】 任意文件上传漏洞主要是由于程序员在开发文件上传功能时,没有考虑对文件格式后缀的合法性进行校验或只考虑在应用前端(Web浏览器端)通过javascript进行后...
【知识点】web安全怎么做
指错||纠正||建议||水评+点赞&&评论&&关注&&转发,在这里你大概率会有所收获
08-26 2273
Web安全怎么做
web开发的安全性分析
System Architect
10-04 1422
让隐藏域更加安全   在ASP.NET应用中,几乎所有HTML页面的__VIEWSTATE隐藏域中都可以找到有关应用的信息。由于__VIEWSTATE是BASE 64编码的,所以常常被忽略,但黑客可以方便地解码BASE 64数据,用不着花什么力气就可以得到__VIEWSTATE提供的详细资料。   ■ 风险分析   默认情况下,__VIEWSTATE数据将包含:   ⑴ 来
如何提高web服务器的安全性
Sousuyi的博客
06-22 701
1、删除不必要的服务默认操作系统安装和配置往往不是安全的。一个典型的默认安装包含许多网络服务,您将无法在Web服务器配置需要,如远程注册表服务,打印服务器服务等的服务越多的操作系统上运行,更多的端口保持打开状态,因此关闭并禁用不使用的服务。2、管理权限和特权文件和网络服务影响的网络服务器的安全,因为如果一个Web服务器引擎,通过网络服务软件威胁,用户可以访问在其上的网络服务正在运行的帐户的权限。为了增加安全性,分配特权最少需要一个特定的网络服务来运行。此外,分配最小的权限所访问的网站,Web应用程序文件和数
web我的家乡项目小结
05-16
你好,关于你的家乡项目小结,以下是一些可能有用的建议: 1. 确定项目目标:在开始项目之前,你需要明确自己的项目目标,例如你想要展示哪些方面的家乡文化,以及你想要用户通过网站了解到什么信息等。 2. 选取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值