不對外提供服務是最安全的。
安全是基於信任。如果信任失敗了,則沒有安全。比如你給乙個ip加白名單,結果這個ip對你發動了安全攻擊。
在非常明確需要提供服務的時候才對外提供服務,即白名單。其他的全部禁止。
對外提供服務要在控制和管理下。
防禦的過程是乙個鏈條,任何乙個節點上都要防禦,否則都會出問題,防禦也就失敗了。
每個節點上都包含這幾個方面
後面的文章也是根據流程,乙個節點乙個節點來組織
能獨立對使用者提供服務。
只是解決重複的問題,但是不能獨立對使用者提供服務。
解析真實現象的手段
現在是網際網路時代,伺服器的防禦手段越來越完善,反而很多攻擊手段轉向了對瀏覽器。所以瀏覽器的安全是很重要的。
這個流程,根據不同的關注度是不一樣的,而且有一些其他的節點沒有標明。這裡暫時沒有畫出其他的網路設定。
只是根據現在的架構畫的防禦圖。不同架構防禦圖也不同。
只體現防禦關注的流程,並不代表所有的流程。比如有可能在**後面直接使用快取。
暫時也沒有考慮分布和集群的問題。
如果有重複的問題,交給更高層節點(流程裡的前乙個節點)去解決。比如說對ip的限制,優先交給防火牆解決,只有防火牆解決不了的問題(http瀏覽器的ua判斷),才從nginx**級別去處理。
場景。就是這個技術想解決的問題。
方案。具體解決這個問題的思路
驗證方法。通過什麼辦法驗證這些場景已經生效並且是安全的。
通過自動化運維來解決絕大部分的安全問題。其實就是現在阿里雲做的事情。。。。。
統一的伺服器自動化安全環境搭建
統一的軟體自動化安全搭建
統一的安全監控及恢復服務
《白帽子講web安全》
web安全學習筆記之 oauth簡介
oauth解決的問題場景例如 使用者要在把msn的好友匯入到人人網。如果人人網做這個功能需要收集使用者在msn的使用者名稱和密碼。這裡就存在乙個不安全的行為。oauth存在3個角色 1 消費方 2 服務提供方 3 使用者 client server resource owner 上面的例子中 人人網...
安全測試1 Web知識簡介
安全測試1 web知識簡介 1 web發展階段概述 2 web安全我能提發展形勢 3 web工作流程 4 瀏覽器工作 瀏覽器 通過網域名稱訪問 dns伺服器 將網域名稱解析為ip位址 web伺服器 http協議訪問,然後返回http響應 5 url的詳細格式 6 http協議內容簡介 6 1.htt...
Web安全 Web通訊
協議 url http 統一資源定位符 uniform resource locator 支援多種協議 http ftp 定位伺服器的資源 schema host port path query string anchor schema 底層協議 如 http https ftp host 伺服器的...