Web应用安全设计

原创 已于 2024-08-31 16:54:21 修改 · 190 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2024-03-05 10:49:13 首次发布

零、序言

安全是应用的生命

一、目标

首先,思考一个问题,怎样才是一个安全合格的Web应用?

第一条,“黑”不进来;

第二条,易于查找和发现安全问题,易于配置和审计,即安全监控,入侵检测;

第三条,不能牺牲一个好应用的基本特性:稳定性、易维护性、可扩展性、高性能、良好的用户体验。

二、生命周期

        应用设计之初应该设计安全需求,设计合理的安全策略和解决方案;开发中,按照安全开发流程和规范进行,开发后进行代码安全审计,然后做安全测试,上线后安全监控入侵检测漏洞修复运维等。

总结起来,安全设计贯穿软件生命周期全过程。

三、认知与原则

* 信任关系的划分是安全设计的基础

        安全问题的本质是信任问题。

* 访问控制系统是安全设计的核心

        垂直权限一般是基于角色菜单请求路径的;水平权限控制的一般要求是将所操作的数据与用户联系起来;同源策略

* 数据与代码分离是安全设计的重要原则

        代码与数据分离原则的本质还是体现了安全问题是信任问题这一思想。代码是否应该信任数据,或者说代码应该信任怎样的数据,是这个原则的本质。 在应用中,比较好的例子是json、XSLT,这些方法都比较好的做到了数据与代码分离,所以在开发中多使用这些比较好的方法,无形中就提高了安全性。

* 最小权限原则

        “default denied”。 推荐白名单,黑名单很可能漏。

* 合理利用不可预测性

&

最低0.47元/天 解锁文章

200万优质内容无限畅学
常见Web安全漏洞及安全设计规范
zqy0227的博客
05-30 223
owasp,安全设计规范
应用系统安全设计
china_melancholy的专栏
12-08 2261
应用系统安全设计
Web应用系统的安全设计
10-24
探讨了Web应用系统的安全问题,阐述了防火墙技术、身份验证技术、ASP.NET程序安全设计、数据加密技术等实现Web应用系统安全设计的技术。
web系统设计安全性基本要求
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
01-16 1294
存储安全: 用户鉴别信息只允许在服务器端数据库存储;禁止在服务器端其它区域和客户端存储; 用户鉴别信息采用用户口令+用户账号的哈希值+加盐处理的方式存储,以保证其保密性和唯一性。
WEB应用安全设计思想
cnbird's blog
06-23 2086
[目录] 1. 前言 2. 信任关系的划分是安全设计的基础 3. 访问控制是安全设计的核心 4. 数据与代码分离的思想是安全设计的原则 5. 最佳实践一:Secure By Default 6. 最佳实践二:Unpredictable 7. 总结 8. 参考资料 一、前言     我一直在思考的一个问题,就是安全问题的本质到底是什么。我们见到过各种各样的攻击,也做过各种各样
应用安全安全设计
Websec
03-20 752
1、安全设计思维导图
Web应用程序安全设计指南
02-27
安全、最有能力抵御攻击的Web应用程序是那些应用安全思想构建的应用程序。在设计初始阶段,应该使用可靠的体系结构和设计方法,同时要结合考虑程序部署以及企业的安全策略。如果不能做到这一点,将导致在现有基础...
WEB应用安全设计模式.pdf
12-12
WEB应用安全设计模式 文件打开密码:2009.11.12
毕业设计,开题报告,论文参考:Web应用防火墙设计与实现-基于Apache-高效防御-网络安全防护
最新发布
03-03
本文介绍了基于Apache的Web应用防火墙的设计与实现,旨在为Web应用提供高效的安全防护。该系统通过ModSecurity规则引擎和自定义防御规则,对HTTP请求进行深度检测,有效抵御SQL注入、XSS攻击等常见Web安全威胁。系统...
Web安全原则设计概述
weixin_34233679的博客
06-15 599
Web安全原则1认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可配置,支持在锁定时间超时后自动解锁。2对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权。...
[译] 2018 PHP 应用程序安全设计指北
weixin_34080571的博客
12-26 446
The 2018 Guide to Building Secure PHP Software! 目录 前言 PHP 版本 / PHP Versions Composer依赖管理 / Dependency Management with Composer 推荐扩展 / Recommended Packages HTTPS和浏览器安全 / HTTPS and Browser Securit...
浅谈软件安全设计(一)
03-21
{************************************************************** 浅谈软件安全设计(一) code by 黑夜彩虹 & vxin with almost pure delphi 网站:http://soft.eastrise.net 2007-03-07 --- 转载时请保留作者信息。 **************************************************************} 此CM的设计模式: 1、插入一些花指令 2、写了一些代码迷惑Cracker 3、有简单的Anti_DEDE 和检测调试器 话不多说,请看以下代码: unit main; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls, ExtCtrls,strutils; Const C1= 17856; C2= 23589; type TForm1 = class(TForm) Image1: TImage; Edit1: TEdit; Label1: TLabel; Label2: TLabel; Edit2: TEdit; Button1: TButton; procedure FormCreate(Sender: TObject); procedure Button1Click(Sender: TObject); private { Private declarations } public { Public declarations } end; var Form1: TForm1; implementation {$R *.dfm} Procedure Anti_DeDe();//检测DEDE反编译器 var DeDeHandle:THandle; i:integer; begin DeDeHandle:=FindWindow(nil,chr($64)+chr($65)+chr($64)+chr($65)); if DeDeHandle0 then begin For i:=1 to 4500 do SendMessage(DeDeHandle,WM_CLOSE,0,0); end; end; Function ABC42():Boolean; //检测调试器; var YInt,NInt:Integer; begin asm mov eax,fs:[30h] movzx eax,byte ptr[eax+2h] or al,al jz @No jnz @Yes @No: mov NInt,1 @Yes: Mov YInt,1 end; if YInt=1 then Result:=True; if NInt=1 then Result:=False; end; function EncryptModule(SourceStr:String;Key:Word;N:Integer):String; var //加密函数 I:Integer; begin SetLength(Result,Length(SourceStr));//利用SetLength函数指定密文长度 //对每一个索引元素进行变换 for I:=1 to Length(SourceStr) do begin Result[I]:=Char(byte(SourceStr[I]) xor (Key Shr N)); Key:= (byte(Result[I]) + Key)*C1+C2; end; end; //==========以下是549的函数,据说没有暴破点,顺便试一试 //========函数作用:动态改变程序运行罗辑 function GetEIP: Integer;//自动生成address的方法 asm mov eax, [esp]; sub eax, 5; //call GetEIP占用5字节 end; function PatchOneItem(PatchItem: String): Boolean; var PatchAddress: Integer; PatchLength: DWord; PatchData: Pointer; PatchDataStr: String; i: Integer; PatchByte: Byte; PID, PHandle: THandle; WriteCount: DWord; begin Result := False; if Length(PatchItem) < 11 then Exit; PatchAddress := StrToInt(\'0x\' + LeftStr(PatchItem, 8)); for i := 1 to Length(PatchItem) do begin if PatchItem[i] \' \' then PatchDataStr := PatchDataStr + PatchItem[i]; end; PatchLength := (Length(PatchDataStr) - 9) div 2; GetMem(PatchData, PatchLength); try for i := 0 to PatchLength - 1 do begin PatchByte := StrToInt(\'0x\'+PatchDataStr[10 + i * 2] + PatchDataStr[10 + i * 2 + 1]); Byte(Pointer(Integer(PatchData) + i)^) := PatchByte; end; GetWindowThreadProcessId(Application.Handle, PID); PHandle := OpenProcess(PROCESS_ALL_ACCESS, False, PID); WriteProcessMemory(PHandle, Pointer(PatchAddress), PatchData, PatchLength, WriteCount); CloseHandle(PHandle); finally FreeMem(PatchData, PatchLength); end; Result := PatchLength = WriteCount; end; procedure Patch(PatchFile: String); var PatchItems: TStrings; PatchIndex: Integer; begin if not FileExists(PatchFile) then Exit; PatchItems := TStringList.Create; try PatchItems.LoadFromFile(PatchFile); for PatchIndex := 0 to PatchItems.Count - 1 do begin PatchOneItem(PatchItems[PatchIndex]); end; finally PatchItems.Free; end; end; procedure TForm1.FormCreate(Sender: TObject); begin Anti_DeDe; //检测DEDE,检测到关闭它。 if ABC42 then ExitProcess(0); //检测调试器,终止。 end; procedure TForm1.Button1Click(Sender: TObject); //注册按纽,开始检测 begin //========在这里插入一些花指令 asm jz @Start jnz @Start db 0E8h, 24h, 0, 0 ; db 0, 8Bh, 44h, 24h db 4, 8Bh, 0, 3Dh db 4, 0, 0, 80h db 75h, 8, 8Bh, 64h db 24h, 8, 0EBh, 4 db 58h, 0EBh, 0Ch, 0E9h db 64h, 8Fh, 5, 0 db 0, 0, 0, 74h db 0F3h, 75h, 0F1h, 0EBh db 24h, 64h, 0FFh, 35h db 0, 0, 0, 0 db 0EBh, 12h, 0FFh, 9Ch db 74h, 3, 75h, 1 db 0E9h, 81h, 0Ch, 24h db 0, 1, 0, 0 db 9Dh, 90h, 0EBh, 0F4h db 64h, 89h, 25h, 0 db 0, 0, 0, 0EBh db 0E6h db 0EBh, 1, 0Fh, 31h ; db 0F0h, 0EBh, 0Ch, 33h db 0C8h, 0EBh, 3, 0EBh db 9, 0Fh, 59h, 74h db 5, 75h, 0F8h, 51h db 0EBh, 0F1h db 0B9h, 4, 0, 0 ; @Start: end; if length(edit2.Text)>3 then //比较大于3位 begin //============再写一些骗Cracker if edit2.Text=EncryptModule(Edit1.Text,12345,10) then begin showmessage(\'请重启本软件。\'); //=======还可以再写一些记号,这里我就不写了 end; PatchOneItem(edit2.Text); //真正的比较 showmessage(\'ok\'); //弹出OK对话框 end; end; end.  //====附件为CM,会破解的兄弟可以试试其强度....
Android应用安全方面的设计
MatrixMind的博客
09-15 445
1.so文件加解密工具 1.原理 1.通过将app的包名签名签名的hash值预置到c++写的代码里面 2.将上述信息和object获取到的调用app的包名签名以及hash进行对比进行校验 3.在c++层里面预置非对称加密的公钥或者对称加密的密钥。 4.选择加密算法 5.将加密结果返回调用层,同时释放占用的内存 6.需要注意的是: 需要防止调试 防止内存获取 2.代码 G...
web程序的安全设计
weixin_30575309的博客
09-01 576
  开发web应用的时候,在安全性需要注意哪些方面呢?搜集资料,简要记录如下:   一个网站,安全问题可能从多方面而来。光是任何一方面,都不可能保证绝对的安全。一个安全的网站,必须要各方面配合才能打造出来。安全性要从两方面来考虑,一个是系统管理方面的安全性,一个是应用程序的安全性。   一、系统管理方面的安全性考虑 1、首当其冲的是服务器的安全   服务器本身如果被人入侵...
安全系类之设计应用安全相关
qq_35789269的博客
08-01 626
最近在做代码安全加固相关的工作,在这里顺便做一个总结 1、系统安全设计 1.1 数据流模型建模 数据流图简介:https://www.jianshu.com/p/d3cb07d37b86 绘图工具(亿图蛮好用它):https://www.edrawsoft.cn/edrawmax/flowchart-lp.html?channel=baidu 1.2 STRIDE威胁建模 威胁建模是一个非常有用的工具,它的核心是“像攻击者一样思考”。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展.
前端(十七)——Web应用安全性研究
杜永康的博客
09-06 1730
前端安全性是保护Web应用程序的前端部分免受恶意攻击和数据泄露的关键措施。前端安全性对Web应用程序至关重要。它保护用户数据、预防恶意攻击、维护业务声誉,并增强用户对应用程序的信任。开发人员应该将前端安全性纳入开发流程中,并采取适当的措施来保护应用程序和用户数据的安全用户数据保护:前端安全性确保用户输入和敏感数据得到充分保护,防止被未经授权的访问或窃取。通过有效的输入验证、数据加密和安全的身份验证机制,可以保护用户的个人信息、密码和其他敏感数据。防止跨站脚本攻击
java应用安全设计_应用安全架构设计-访问控制
weixin_34632164的博客
02-25 396
权限控制,或者说访问控制,广泛应用于各个系统中。抽象地说,是某个主体(subject)对某个客体(object)需要实施某种操作(operation),而系统对这种操作的限制就是权限控制。在网络中,为了保护网络资源的安全,一般是通过路由设备或者防火墙建立基于IP和端口的访问控制。在操作系统中,对文件的访问也要访问控制。比如在Linux系统中,一个文件可以执行的操作分为“读”、“写”、“执行”三种,...
【Android应用开发】-(7)安全设计(完整版请参考官方)
秋风的博客
06-11 3176
Android的设计为大多数开发者能够使用默认的设置构建应用程序,而不需要在安全性方面作出更多的思考。Android还有许多操作系统内置的安全功能,大幅度减少应用程序安全性的问题和频率。     一些安全特性可以帮助开发人员构建安全应用程序,其中包括:     1、Android应用程序沙箱在每个应用程序的基础上分离数据和执行代码。     2、 Android应用程序框架实现了共同的安全
软件应用开发安全设计指南
weixin_41039677的博客
05-03 2192
设计系统架构时,要充分考虑各种安全威胁,如DDoS攻击、SQL注入、跨站脚本攻击(XSS)等,并采取相应的防护措施。设计时要充分考虑到系统架构的稳固性、可维护性和可扩展性,以确保系统在面对各种安全威胁时能够稳定运行。设计审计和日志记录功能,以记录系统的活动和事件,为安全审计和故障排除提供依据。对网络通讯进行严格的身份验证和访问控制,防止未经授权的访问和数据泄露。在设计软件功能时,要充分考虑功能的安全性,避免引入潜在的安全漏洞。限制对存储设备的物理访问权限,防止未经授权的访问和数据篡改。
WEB应用程序设计与开发技术代码全解
Web应用程序设计是现代软件开发领域中极为重要的一环,它关注的是创建可在Web浏览器中运行的应用程序。Web应用程序允许用户通过互联网与之交互,而无需在用户设备上安装任何额外的软件。此类应用设计和开发过程中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值