当前位置: 首页 > 应用系统安全工程 > 正文

软考信息安全工程师学习笔记三十五(8.1 Web安全的需求分析与基本设计)

第8章应用安全工程

8.1 Web安全的需求分析与基本设计

一.大纲要求

8.1.1 Web安全威胁
* 熟悉OWASP Top 10 Web安全分类
8.1.2 Web安全威胁防护技术
* 掌握注入漏洞防护技术
* 掌握失效的身份认证和会话管理防护技术
* 掌握跨站脚本(XSS)防护技术
* 熟悉其余常见Web安全威胁防护技术

二.思维导图

 

三.备考知识要点

OWASP TOP 10

注入

攻击者通过在应用程序预先定义好的查询语句结尾加上额外的查询语句元素,欺骗数据库服务器执行非授权的任意查询。

失效的身份认证和会话管理

跨站脚本(XSS)

当用户不小心单击这样带有恶意代码的链接时,其用户信息就有可能被攻击者盗取。

不安全的直接对象引用

安全配置错误

许多设置的默认值并不是安全的

敏感信息泄露

功能级访问控制缺失

跨站请求伪造(CSRF)

一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求,包括该用户的会话cookie和其他认证信息,发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求。

使用更含有已知漏洞的组件

未验证的重定向和转发

8.1.2 Web安全威胁防护技术

8.1.2.1 注入漏洞

从SQL注入攻击的例子可以看出漏洞攻击的安全危害性很大,我们可以从以下几个方面来避免漏洞攻击

常使用自带的安全的API

如果没法使用一个参数化的API,那么你应该使用解释器具体的escape语法来避免特殊字符。

加强对用户输入的验证。

8.1.2.2 如何防止失效的身份认证和会话管理

对于失效的身份认证和会话管理的防范,我们可以从以下方面来着手:

一套单一的强大的认证和会话管理控制系统。

区分公共区域和受限区域。

锁定账户和禁用帐户策略。

保护身份验证Cookie。

口令、会话时限。

本文固定链接: https://www.moondream.cn/?p=606 | 月梦工作室

该日志由 moondream 于2018年05月18日发表在 应用系统安全工程 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 软考信息安全工程师学习笔记三十五(8.1 Web安全的需求分析与基本设计) | 月梦工作室
关键字:

说点什么

avatar

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

  Subscribe  
提醒