securebydefault原則

1、黑名單 白名單原則

讓客戶滿意是我們工作的目標(biāo),不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛(ài)。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶,將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴,公司提供的服務(wù)項(xiàng)目有:主機(jī)域名、網(wǎng)絡(luò)空間、營(yíng)銷(xiāo)軟件、網(wǎng)站建設(shè)、都昌網(wǎng)站維護(hù)、網(wǎng)站推廣。

盡可能使用白名單,不使用黑名單。例如:要做限制過(guò)濾的時(shí)候,只提供一份可信任的白名單列表,比提供一份不可信任的黑名單

列表進(jìn)行過(guò)濾要有效得多。另外,在白名單中應(yīng)小心* 等通配符的使用。 

2、最小權(quán)限原則

即是要注意系統(tǒng)只授予主題必須的權(quán)限,而不是過(guò)度授權(quán)。這樣能有效減少系統(tǒng),數(shù)據(jù)庫(kù),網(wǎng)絡(luò),應(yīng)用等出錯(cuò)的機(jī)會(huì)。

3、縱深防御原則

兩層含義:

        A:在不同層面,不同方面實(shí)施安全方案。

例如:在設(shè)計(jì)安全方案時(shí),盡可能考慮到web應(yīng)用安全,os系統(tǒng)安全,數(shù)據(jù)庫(kù)安全,網(wǎng)絡(luò)環(huán)境安全等不同層面。共同組成防御體系。

B:在正確的地方做正確的事情,即是要在解決根本問(wèn)題的地方實(shí)施有效的針對(duì)性的方案。

例如在對(duì)用戶輸入的html進(jìn)行過(guò)濾時(shí),要先進(jìn)行語(yǔ)法樹(shù)的分析,而不是粗暴的進(jìn)行< 等過(guò)濾,以免造成用戶本意想表達(dá)如1<2的意思。

4、數(shù)據(jù)與代碼的分離

像HTML injection  sql injection  SRLF injection  X-PATH injection  均可以根據(jù)該原則設(shè)計(jì)出真正的解決方案。

以sql 為例,產(chǎn)生的原因正是因?yàn)闊o(wú)法判斷用戶的輸入和該執(zhí)行的sql語(yǔ)句而直接造成的損失。

如 select fieldlist from table where field ='  <input>  ';

當(dāng)輸入為:

select fieldlist from table where field ='  'anything' or 'x'='x'  ';  這時(shí)候整個(gè)數(shù)據(jù)表的數(shù)據(jù)都將被返回。

5、不可預(yù)測(cè)性原則

數(shù)據(jù)與代碼分離是從漏洞的成因上做出防御,而不可預(yù)測(cè)性原則則是從克服***方法的角度看待問(wèn)題。這是一種即使無(wú)法修復(fù)代碼,但是讓***變得無(wú)效

的成功的防御。

比如:讓程序的?;纷兊秒S機(jī)化,使***程序無(wú)法準(zhǔn)確猜測(cè)到內(nèi)存地址,而大大的提高***的門(mén)檻。再比如在一些應(yīng)用系統(tǒng)中,使用隨機(jī)的id。那么如果***者再

想使用類(lèi)似于

for(int i=0;i<1000;i++){

delete(url="xxx?id="+i);

}

這種方法的***將無(wú)效,起碼是先爬取id的值,再進(jìn)行delet操作。同樣的,現(xiàn)在利用token,利用加密算法,隨機(jī)算法,哈希算法等,其實(shí)都可以找到這條原則的影子。

當(dāng)前文章:securebydefault原則
標(biāo)題來(lái)源:http://www.muchs.cn/article20/pgdgco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供全網(wǎng)營(yíng)銷(xiāo)推廣企業(yè)建站、域名注冊(cè)、App設(shè)計(jì)、微信小程序、品牌網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

微信小程序開(kāi)發(fā)