• 白帽子讲web安全——白帽子兵法(设计安全方案中的技巧)


    1.Secure By Default原则

    白名单:筛选出被允许的,屏蔽其他。

    黑名单:屏蔽可能造成的威胁。

    2.XSS和SSH

    XSS攻击:跨站脚本(cross site script)攻击是指恶意的攻击者在web中注入恶意的HTML代码.

    SSH:安全外壳协议(secure shell)SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP-UXLinuxAIXSolarisDigital UNIXIrix,以及其他平台,都可运行SSH。

    3.Secure By Default (总原则)原则的另一个含义:最小权限原则(系统只授予主体必要的权限,不要太过。这样能有效的减少系统,数据库,网络,应用出错的机会)。

    4.Defense in Depth(纵深防御)(更加全面、正确的看问题)原则分两个层面:1.在各个层面,各个方面实施安全方案。避免疏漏。然后,不同安全方案之前相互配合,构成一个整体。2.在正确的地方做正确的事。在解决根本性问题的地方设计解决方案 。

    5.UTM:Unified Threat Management (统一威胁管理)几乎集成了所有的防火墙,VPN,反垃圾邮件,IDS,反病毒等。UTM 的定位是当中小企业没有精力自己做安全方案时,可以在一定程度上提高安全门槛。但是 UTM 并不是万能药,很多问题并不应该在网络层、网关处解决,所以实际使用时效果未必好,它更多的是给用户买个安心。

    6.数据与代码分离原则(从漏洞的成因上看问题)

    这一原则广泛的适用于由于“注入”而引发的安全问题。包括:XSS,SQL Injection,JavaScript Injection,SQL Injection,CRLF Injection,X—Path Injection等。

    7.不可预测性原则(克服攻击方法的角度):可以有效的抵御基于篡改,和伪造的攻击。该原则的实现经常会用到加密算法,随机算法,哈希算法等。

    windows抵御缓冲区溢出的方法是:使用DEP(Data Execution Prevention)保证堆栈不可执行。使用CSRF(Cross_site request forgery(跨站请求伪造))让进程的栈的基址不断的变化。

    总结:设计安全方案长用到的四个原则有:Secure By Default(总原则),Defense in Depth(全面,正确的看待安全问题),数据与代码分离原则,不可预测原则。

  • 相关阅读:
    appium+python自动化24-滑动方法封装(swipe)
    selenium+python自动化82-只截某个元素的图
    selenium+python自动化81-html报告优化(饼图+失败重跑+兼容python2&3)
    selenium+python自动化79-文件下载(SendKeys)
    selenium+python自动化77-autoit文件上传
    Appium+python自动化22-Appium Desktop
    Appium+python自动化21-DesiredCapabilities详解
    Appium+python自动化20-查看iOS上app元素属性
    Appium+python自动化19-iOS模拟器(iOS Simulator)安装自家APP
    Appium+python自动化18-brew、carthage和appium-doctor
  • 原文地址:https://www.cnblogs.com/hupp/p/4928209.html
Copyright © 2020-2023  润新知