安全测试
xinyi0622
这个作者很懒,什么都没留下…
展开
-
安全体系七层内容
第一层: 实体安全 实体安全是信息系统安全的基础。依据实体安全国家标准,将实施过程确定为以下检测与优化项目:机房安全、场地安全、机房环境/温度/湿度/电磁/噪声/防尘/静电/振动、建筑/防火/防雷/围墙/门禁、设施安全、设备可靠性、通信线路安全性、辐射控制与防泄露、动力、电源/空调、灾难预防与恢复等,检测优化实施过程按照国家相关标准和公安部的实体安全标准。第二层: 平台安全...原创 2020-04-03 10:18:43 · 1969 阅读 · 0 评论 -
Web Service配置安全
一、Web ServiceWeb服务器是web应用的载体。Web server的安全关注两点:1、web server本身是否安全;2、web server是否提供了可使用的安全功能;二、Apache安全1、 首先检查apache的module安装情况,根据“最小权限原则”,应该尽可能的减少不必要的module,对于要使用的module,则检查起对应版本是否存在已知的安全...原创 2020-04-03 10:09:55 · 225 阅读 · 0 评论 -
CSRF的防范
CSRF(Cross Site Request Forgery)是常见的web攻击,攻击者诱使用户访问一个页面,就以该用户身份在第三方站点里执行操作,进行攻击。CSRF的攻击过程,往往是在用户不知情的情况下构造了网络请求。1、添加验证码验证码强制用户必须与应用进行交互,才能完成最终请求。 验证码是一种辅助手段,不能作为最主要的解决方案。2、referer检查检查请求hea...原创 2020-04-02 09:44:43 · 230 阅读 · 0 评论 -
WEB安全防范
1、Cookie的安全防范:存储于cookie中的敏感数据必须加密。 没有特殊要求下,尽量使用会话cookie(非持久化)。 如果使用持久化cookie应该设置cookie超时。 激活cookie安全传输,表示创建的 cookie 只能在https连接中被浏览器传递到服务器端进行会话验证,如果是http连接则不会传递该信息。Cookie[] cookies = request.get...原创 2020-04-02 09:43:45 · 182 阅读 · 0 评论 -
敏感数据的安全防范
1、不能任意在Cookie、Session、ServletContext中存放数据,对于这些对象中存放的数据,必须有统一定义、说明、Lifecycle的管理等。2、对于敏感信息都必须保障其私密性。在页面显示、操作交互中不可避免的会有一些如用户的标识信息、密码、帐号信息、涉及的金额信息等敏感数据(保密性的数据)的存在。为保障这些数据不被曝露而提高安全性,我们要做到所有敏感信息必须进行加密处理...原创 2020-04-02 09:42:27 · 2965 阅读 · 0 评论 -
页面组件安全防范
1、页面标签必须关闭,属性值必须加引号。在页面中使用的标签不关闭,属性值不加引号往往成为被攻击点,攻击者很容易的利用这些漏洞进行注入。避免这些漏洞的出现可以提高被攻击的可能。2、Form提交方式必须选用POST。Form默认的提交方式是Get,这种方式将表单中数据的按照variable=value的形式,使用“?”添加至Action所指向的URL后面,各个变量之间使用“&”连接...原创 2020-04-02 09:40:17 · 177 阅读 · 0 评论 -
防SQL注入规范
1、防SQL注入基本原则:所有用户输入都必须进行合法性校验。所有数据库SQL操作必须参数化。2、回收开发人员等操作生产库权限。减少开发人员、非DBA操作生产库的权限;数据库数据查询要有权限分级和审核。3、尽量使用PreparedStatement代替Statement。一方面,在大多数情况下,使用PreparedStatement的性能将优于使用Statement,另外一方面,...原创 2020-04-02 09:39:21 · 280 阅读 · 0 评论 -
跨站点脚本(XSS)防范
XSS的类型:反射型XSS、存储型XSS、DOM型XSS跨站点脚本防范的基本原则:一切的输入/输出都是有害的,不要信任任何输入/输出数据。 所有传递过程都不能保障无侵入,执行前、存储前、显示前都要进行“数据清洁”。 所有的数据校验、处理工作要在前端和服务器端两次进行。 目前所有的XSS通过com.keegoo.core.util.XSSUtil来过滤。DOM-based XSS的防...原创 2020-04-02 09:38:32 · 718 阅读 · 0 评论 -
Web Service配置安全
一、Web ServiceWeb服务器是web应用的载体。Web server的安全关注两点:1、web server本身是否安全;2、web server是否提供了可使用的安全功能;二、Apache安全1、 首先检查apache的module安装情况,根据“最小权限原则”,应该尽可能的减少不必要的module,对于要使用的module,则检查起对原创 2017-06-21 09:37:38 · 911 阅读 · 0 评论 -
影响数据安全的要素
1、影响数据安全的要素1.1、数据来源的可信性 企业级大数据应用需要从不同的终端设备或日志中采集数据,普遍误解是这些数据本身都是真实有效的,能够反应实际情况,但实际情况,有些数据得到的结果是不可信的,可能是不准确的。数据来源存在以下风险:1. 伪造或刻意制造的数据修改数据采集软件或篡改数据本身来实现;通过ID克隆攻击(如Sybil攻击);如:原创 2017-05-09 11:41:44 · 2234 阅读 · 0 评论 -
NoSQL数据库安全性
非关系型数据存储的安全传统的关系型数据库扩展性限制,无法应对超大规模和高并发的非结构化数据安全问题如下:1. 薄弱的验证机制 易遭受暴力破解,存储设备可能直接访问(如侵入在线支付系统,通过APP或下载病毒访问数据),从而导致数据呗篡改或窃取。 支持NoSQL访问的RESTful的协议容易遭受XSS,跨站请求伪造等。2.原创 2017-05-09 11:12:15 · 2682 阅读 · 0 评论