Web應(yīng)用程序安全不可忽視的幾大問題

責(zé)任編輯:editor004

2014-02-10 10:20:52

摘自:TechTarget中國

對于任何一個項目,開始階段對于交付安全的應(yīng)用來說非常關(guān)鍵。適當?shù)陌踩髸?dǎo)致正確的安全設(shè)計。下面討論在分析Web應(yīng)用程序的安全要求時需要考慮的八大問題

對于任何一個項目,開始階段對于交付安全的應(yīng)用來說非常關(guān)鍵。適當?shù)陌踩髸?dǎo)致正確的安全設(shè)計。下面討論在分析Web應(yīng)用程序的安全要求時需要考慮的八大問題。

1、認證和口令管理:這主要是一種一次性的活動而且僅僅是作為項目的一部分而完成的。有人可能會問一些與認證和口令管理有關(guān)的問題:

◆口令策略:這個問題非常重要的原因在于避免與用戶憑據(jù)有關(guān)的字典攻擊。

◆口令哈希算法:確保通過適當?shù)募用芩惴▉砑用芸诹钜卜浅V匾?/p>

◆口令重置機制:為了避免黑客修改或截獲口令,重置機制非常關(guān)鍵。

2、認證和角色管理:在分析項目的安全問題時,要確認所有的關(guān)鍵功能,并確認哪些人可以獲得授權(quán)訪問這些功能。這樣做有助于確認各種不同的角色,并可以使訪問控制到位。

3、審計日志記錄。詢問并確認所有與已經(jīng)發(fā)生的攻擊有關(guān)的所有關(guān)鍵業(yè)務(wù)是很重要的,這是因為這些攻擊對企業(yè)的會產(chǎn)生重大影響。企業(yè)應(yīng)當能夠分析與這些業(yè)務(wù)有關(guān)的審計日志記錄。

4、第三方組件分析。詢問并分析一下企業(yè)是否必須使用第三方的組件也是一個重要問題。在此基礎(chǔ)上,企業(yè)分析與這些組件有關(guān)的已知漏洞,并做出恰當?shù)慕ㄗh。

5、輸入數(shù)據(jù)驗證和凈化。詢問并理解和分析輸入數(shù)據(jù)的屬性,并為數(shù)據(jù)的驗證和凈化做好計劃是很重要的。這種操作主要與解決跨站腳本攻擊這類漏洞有關(guān)。數(shù)據(jù)驗證和凈化還有助于避免SQL注入的大規(guī)模發(fā)生。

6、加密和密鑰管理。這是為了分析是否存在需要保證其安全的業(yè)務(wù),并且這些業(yè)務(wù)是否需要握手機制(在處理業(yè)務(wù)之前,可使用多種與公鑰或私鑰的交換有關(guān)的多種技術(shù)來實施這種機制)。

7、源代碼的完整性:這是一種一次性的活動,并且要求在項目的開始階段完成。這樣做有助于如下兩個方面:

源代碼應(yīng)當存放在一個有良好安全保障的控制倉庫中,并且在遵循“最少特權(quán)”的原則前提下,有強健的認證和基于角色的訪問控制。你還應(yīng)當關(guān)注關(guān)于源代碼庫和相關(guān)工具的問題。

此外,在代碼的開發(fā)及傳輸過程中,你還可以分析關(guān)于源代碼容器的工具問題以及代碼的保護問題。

8、源代碼的管理。討論源代碼的審查策略是一個關(guān)鍵問題,因為這種做法會要求自動化的和人工的代碼檢查問題,并且在一定程度上會影響總體的項目時間(要求進行代碼檢查時間和針對檢查意見的修復(fù)時間)。這是一種一次性的活動,因而應(yīng)當在項目的開始階段完成。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號