惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
GbyAI
GbyAI
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
博客园 - 三生石上(FineUI控件)
美团技术团队
Last Week in AI
Last Week in AI
WordPress大学
WordPress大学
L
LangChain Blog
雷峰网
雷峰网
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
博客园 - 叶小钗
Engineering at Meta
Engineering at Meta
腾讯CDC
Recent Announcements
Recent Announcements
The Register - Security
The Register - Security
有赞技术团队
有赞技术团队
Blog — PlanetScale
Blog — PlanetScale
博客园 - Franky
博客园 - 司徒正美
The Cloudflare Blog
Google DeepMind News
Google DeepMind News
T
Tailwind CSS Blog
C
Check Point Blog
小众软件
小众软件
V
Visual Studio Blog
V
V2EX
F
Full Disclosure
J
Java Code Geeks
MongoDB | Blog
MongoDB | Blog
罗磊的独立博客
人人都是产品经理
人人都是产品经理
量子位
Apple Machine Learning Research
Apple Machine Learning Research
F
Fortinet All Blogs
Microsoft Security Blog
Microsoft Security Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
博客园 - 【当耐特】
博客园_首页
Y
Y Combinator Blog
N
Netflix TechBlog - Medium
酷 壳 – CoolShell
酷 壳 – CoolShell
Stack Overflow Blog
Stack Overflow Blog
Recorded Future
Recorded Future
G
Google Developers Blog
Vercel News
Vercel News
大猫的无限游戏
大猫的无限游戏
Microsoft Azure Blog
Microsoft Azure Blog
U
Unit 42
爱范儿
爱范儿
Jina AI
Jina AI

博客园 - Shinn

开发一个12306网站要多少钱?技术分析12306合格还是不合格 完美的web 2.0站点用户中心标准,及开源用户中心nUserCenter进展报告 开源 Asp.net mvc 用户中心(nUserCenter) 产品机会评估 开源 Asp.net mvc 用户中心开发计划 [转]为什么首页最后设计 [转]从社区常识说起 [转]内容运营与冷酷态度 [转载]2008-2010中文SNS的观察和实践 如何建立有效的UGC激励机制 技术领导的疑难:如何掌控其他成员的开发 重用之前应仔细分析问题---------用错轮子有感 从面试题看高级软件工程师需要哪些技艺 测试 也为读者说几句(兼为什么要骂烂书译者) "千里之堤毁于蚁穴"------重点项目不能交付之谜(一)泥淖中的验收测试 最长代码有多长:不符[单一职责原则(SRP)]的常见设计 不足百行代码 实体数组转DataTable通用类 企业快速开发框架--基于配置文件 面试英语【转】
【翻译】WEB安全设计规范(4.1)
Shinn · 2009-02-08 · via 博客园 - Shinn

主要内容

  • 输入检查策略
  • 分离访问受限部分
  • 有效的账户管理实践
  • 有效的授权和验证策略开发
  • 保护敏感数据
  • 保护用户Session
  • 预防参数篡改(parameter manipulation)
  • 安全的处理异常
  • 保护配置和管理部分
  • 需考虑的监控和日志事项

纵览

    WEB应用有众多需要架构师、设计师、程序员注意的安全问题。几乎所有安全的WEB应用都是由以上三方同时在安全上努力的结果。

    除此之外, 可靠的架构和设计还要求在设计阶段的初期就统一考量部署和安全政策。否则可能会无法在已有的基础架构上部署或只有降低安全水平才能部署

    本章包括一系列的架构上和设计上的规范。并依照常见的安全薄弱环节分类。WEB安全设计规范不仅是Web安全性的关键也是经常犯错误的区域。

如何应用

  本章主要专注于设计应用时必须遵循的原则和规范,以下是就如何使用本章的建议。 

  •  首先你得知道应用面临的威胁,这样才能确定在设计时是否考虑了所有威胁。阅读第二章“威胁和对策”理解需考虑的威胁,第二章例举了可能危及应用的威胁。你应该在整个设计阶段牢记这些风险。
  • 设计应用时,系统的处理你的可能受攻击的部分。包括部署考量,输入验证,用户验证和授权,加密和敏感数据保护,管理和配置,Sesion,异常处理,监控和日志等部分都必须重视。

 WEB应用中的架构和设计的要点

   WEB应用对设计师和程序员来说都是一个挑战。由于Http师无状态的,所以应用程序必须能分辨每一个用户的连接信息。要做到这一点,应用必须实现某种形式的用户验证。随后的用户授权决策也是基于用户验证的,这就从本质上要求验证过程和用于标记授权用户的session机制在安全上的要求是一致的。验证和session安全是设计师和程序员要面对的众多问题之一。插图4.1中标出了部分设计过程必须处理的重要问题点。


  本章中的设计规范依照应用中的薄弱环节分类。根据以往经验,在这些重点区域的设计不足更容易带来安全上的脆弱。表4.1列出了薄弱环节的分类,并标出了每个薄弱环节的处理不当可能导致的问题。

 

部署考量

  在设计环节,你应该评估应用安全政策与应用的目标部署环境基础设施的协调性。一般说来,目标环境要求是刚性的,所以应用程序的设计必须考虑环境限制。有时需要在设计上和基础设施上做一些权衡,如协议和端口的限制或特殊的部署技术。在设计阶段的的初期找出限制可以避免后期的大麻烦,此外还可以尽早得到网络和基础设施团队的帮助。

Design Guidelines for Secure Web Applications

晕,两个多小时才整了这么点。累啊,明天上班再整。。。