qqq
Web安全
1 安全三要素:CIA
C(机密性:Confidentiality),I(完整性:Integrity),A(可用性:Availability)
1.1 机密性-C
1.2 完整性-I
保证数据内容完整,不被篡改,实现手段一般是数字签名。
1.3 可用性-A
保证资源或者服务随时可用,防止被恶意占用,比如DoS(Denial of Service).
1.4 其他要素
比如可审计性,不可抵赖性等等
2 常见攻击方法
2.1 DDOS
2.2 sql注入
2.3 XSS(跨站脚本攻击)
2.4 CSRF攻击
3 安全评估过程
可以分为四个阶段:资产等级划分,威胁分析,风险分析,确认解决方案
3.1 资产等级划分
资产等级划分是所有工作的基础,等级划分可以帮助我们明确目标是什么,要保护的是什么。
不通公司或者不同的业务对资产的等级划分不同,有的关注用户数据,有的关注设备权限等等,一般通过访谈的形式来明确数据或者设备的安全等级,为后续的安全评估提供指导。完成了等级划分,接下来就要划分信任与和信任边界了。一般从逻辑上来划分,比如数据是安全隔离区域,逐级往外分别是服务,应用,界面,外部网络等。
3.2 威胁分析
就是把所有有可能对系统造成威胁的情况都列举出来,可以采用科学的模型方法来帮我们分析可能的威胁,或者头脑风暴的办法作为补充,无论哪种方式,都有可能遗漏,这一点是必须了解的。
3.3 风险分析
讲各种威胁根据实际情况做风险等级的划分,同一种风险可能对不同的系统或者业务属于完全不同的风险等级,因此,要根据实际情况估算某一威胁的风险值。
判断一个威胁的风险值,可以采用微软提出的DREAD模型,五个字母分别是单词的首字母,大致如下。详细信息可以查阅相关资料。
根据此模型,可以估算出一个威胁的危险系数,为防御提供一定的指导。
3.4 设计安全方案
基本原则就是通过简单而有效的方案,解决遇到的安全问题,能够有效的抵抗威胁,同时不能过多的干涉正常的业务流程,并且在性能上也不能造成太大的影响。
好的安全方案特点:
- 有效的解决问题
- 用户体验好
- 高性能
- 低耦合
- 易于扩展升级
相关阅读
对于淘宝联盟赚钱安全吗?如何通过淘宝联盟赚钱的问题,大家并不知道,只是知道现在有越来越多的淘宝客都赚到了钱,因此对于一些无所事
高并发下web服务器http异常状态码499/502/504分析
环境说明压测工具:apache/abweb服务器:NGINX/1.8.0 + PHP 5.6.25php脚本:get.php注:nignx 设置超时fastcgi_connect_timeout 60 fastc
Webstorm 2018|2019 官网各大版本破解永久有效 (适用
【2019-05-10更新】Lanyu网站的破解包的链接访问不了,附上LZ百度网盘的资料,永久有效 webstorm 作为最近最火的前端开发工具,也确实
(史上最全)Web前端面试试题大全及答案汇总(至篇一HTML与C
1、你做的页面在哪些流览器测试过?这些浏览器的内核分别是什么? 2、每个 HTML 文件里开头都有个很重要的东西, Doctype,知道这是干什
echarts 评价: 5星(国产组件,达到这种高度,不多) 官网: http://echarts.baidu.com/ 说明: ECharts,一个纯 Javascript 的图表库,可以流