週末有空看了下web 安全方面的資料,了解下網路安全的 secure by default 原則
1、黑名單 白名單原則
盡可能使用白名單,不使用黑名單。例如:要做限制過濾的時候,只提供乙份可信任的白名單列表,比提供乙份不可信任的黑名單
列表進行過濾要有效得多。另外,在白名單中應小心* 等萬用字元的使用。
2、最小許可權原則
即是要注意系統只授予主題必須的許可權,而不是過度授權。這樣能有效減少系統,資料庫,網路,應用等出錯的機會。
3、縱深防禦原則
兩層含義:
a:在不同層面,不同方面實施安全方案。
例如:在設計安全方案時,盡可能考慮到web應用安全,os系統安全,資料庫安全,網路環境安全等不同層面。共同組成防禦體系。
b:在正確的地方做正確的事情,即是要在解決根本問題的地方實施有效的針對性的方案。
例如在對使用者輸入的html進行過濾時,要先進行語法樹的分析,而不是粗暴的進行< 等過濾,以免造成使用者本意想表達如1<2的意思。
4、資料與**的分離
像html injection sql injection srlf injection x-path injection 均可以根據該原則設計出真正的解決方案。
以sql 為例,產生的原因正是因為無法判斷使用者的輸入和該執行的sql語句而直接造成的損失。
如 select fieldlist from table where field =' ';
當輸入為:
select fieldlist from table where field =' 'anything' or 'x'='x' '; 這時候整個資料表的資料都將被返回。
5、不可**性原則
資料與**分離是從漏洞的成因上做出防禦,而不可**性原則則是從克服攻擊方法的角度看待問題。這是一種即使無法修復**,但是讓攻擊變得無效
的成功的防禦。
想使用類似於
for(int i=0;i<1000;i++){
delete(url="***?id="+i);
這種方法的攻擊將無效,起碼是先爬取id的值,再進行delet操作。同樣的,現在利用token,利用加密演算法,隨機演算法,雜湊演算法等,其實都可以找到這條原則的影子。
關於網路安全
如何查詢自己的 網路身份證 開始 執行 輸入cmd 確定 在彈出的視窗中輸入ipconfig all,回車即可檢視自己的計算機名,ip位址。地區級的網際網路序號產生器構 arin 北美 ripe 歐洲 apnic 亞太 本地級的網際網路序號產生器構 cnnic 中國 警惕網路上各種窺探 網路探測器 ...
關於網路安全攻防知識
dns 劫持 什麼是dns劫持?dns劫持又叫網域名稱劫持,劫持了路由器或網域名稱伺服器等 篡改了網域名稱的解析結果,使得指向該網域名稱的ip指向ip,你想訪問正經 結果給你跳到乙個不正經的 實現非法竊取使用者資訊,破壞正常網路服務。怎麼解決勒?手動指定伺服器位址,可以手動配置dns伺服器位址。可以...
網路安全策略和網路安全機制
考研初試專業課中的乙個題目,考的是有關安全機制和安全策略有關的方面,在專業課教材裡翻了好久沒有找到相關的內容,拿到複試的教材後發現才裡面有提到 於是今天拿出來總結一下好了安全策略是指在乙個特定的環境裡,為保證提供一定安全級別的安全保護所必須遵守的規則。主要包括以下內容 隨著應用環境的不同 實施客體的...