網(wǎng)站的十大安全措施_第1頁
已閱讀1頁,還剩6頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、1. String newName = request.getParameter(“newName“);2. String id = request.getParameter(“id“);從應(yīng)用的架構(gòu)、設(shè)計(jì)和研發(fā)角度總結(jié)了構(gòu)建安全應(yīng)用的十大掌握措施,致力于提高軟件設(shè)計(jì)和開發(fā)人員的安全意識和力量,進(jìn)而提升應(yīng)用的安全性。這十大措施中,有的很具體,有的只是通用的分類,有的是技術(shù)性的,有的是過程相關(guān)的。不過,僅僅指出問題往往是不夠的,開發(fā)人員是

2、應(yīng)用的根底,為了開發(fā)出安全的應(yīng)用,必需要為他們供給必要的幫助和支持。編寫Web 應(yīng)用的軟件開發(fā)人員需要把握和練習(xí)各種安全編碼的技術(shù)。 Web 應(yīng)用的每一層,包括用戶界面、業(yè)務(wù)規(guī)律、掌握器以及數(shù)據(jù)庫代碼,在編寫的時(shí)候都必需將安全問題牢記在心, 這可能是格外困難的一項(xiàng)任務(wù),由于大多數(shù)開發(fā)人員并沒有太多安全方面的學(xué)問, 而用來構(gòu)建Web 應(yīng)用的語言和框架在安全方面通常缺乏必要的掌握。在需求和設(shè)計(jì)階段,可能也會(huì)有固有的缺陷,很少有組織為開發(fā)人員

3、供給需求規(guī)約以指導(dǎo) 他們編寫安全的代碼。1. 參數(shù)化查詢SQL 注入是Web 應(yīng)用中最危急的漏洞之一,由于SQL 注入較為簡潔被黑客探測到并且會(huì)給應(yīng)用帶來消滅性的打擊。只需在你的Web 應(yīng)用中注入一條簡潔的惡意SQL,你的整個(gè)數(shù)據(jù)庫可能就會(huì)被竊取、擦除或者篡改。在運(yùn)行數(shù)據(jù)庫的主機(jī)上,甚至可以借助Web 應(yīng)用執(zhí)行危急的操作系統(tǒng)命令。為了防止SQL 注入,開發(fā)人員必需阻擋那些不行信任的輸入,這些輸入將會(huì)解析成為SQL 命令的一局部。要實(shí)現(xiàn)這

4、一點(diǎn),最好的一種方式就是使用被稱做查詢參數(shù)化〔Query Parameterization〕的編程技術(shù)。例如,在Java 之中,查詢參數(shù)化如下所示:構(gòu)建用戶界面的話,也就是在將非信任的數(shù)據(jù)添加到HTML 中的時(shí)候。能夠阻止XSS 的編碼形式包括HTML實(shí)體編碼、JavaScript 編碼以及百分號編碼〔也稱為URL 編碼〕。3. 校驗(yàn)全部的輸入編寫安全應(yīng)用時(shí),很重要的一點(diǎn)就是將全部來自于應(yīng)用外部的輸入〔如來自于掃瞄器或移動(dòng)客戶端,來自于

5、外部系統(tǒng)或文件〕 均視為不行信任的。對于Web 應(yīng)用來說,這包括 頭、cookies 以及GET 和POST 參數(shù),總而言之也就是任何攻擊者可以入侵的數(shù)據(jù)。構(gòu)建安全Web 應(yīng)用的一個(gè)重要方法就是限制用戶能夠提交到Web 應(yīng)用之中的輸入。限制用戶輸入的技術(shù)稱之為“輸入校驗(yàn)”。在Web 應(yīng)用的效勞器端,輸入校驗(yàn)通常會(huì)用到正則表達(dá)式。有兩種輸入校驗(yàn), 分別為“白名單”和“黑名單”校驗(yàn)。白名單試圖定義好的輸入是什么樣子的, 任何不匹配

6、“好輸入”定義的輸入都會(huì)被拒絕。“黑名單”校驗(yàn)會(huì)試圖探測的攻擊,只會(huì)拒絕這些攻擊和非法字符。黑名單校驗(yàn)更為困難,由于可以通過編碼或其他偽裝技術(shù)繞過,所以在構(gòu)建安全Web 應(yīng)用時(shí)并不推舉使用。但有些時(shí)候正則表達(dá)式是不夠的,假設(shè)你的應(yīng)用要處理markup,也就是不受信任的輸入中會(huì)包含HTML 片段,這樣的話會(huì)很難進(jìn)展校驗(yàn),編碼也是很困難的,由于編碼的話會(huì)破壞輸入中的標(biāo)簽。此時(shí),會(huì)需要一個(gè)能夠解析和清理HTML格式文本的庫,如OWASP Ja

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論