Web安全开发指南

Web安全开发指南的读书笔记

Web安全开发指南数据安全创建读取更新删除常见web应用威胁缓冲区溢出代码注入跨站脚本XSS文件上传硬编码的认证发现隐藏或受限制的文件/目录缺少认证或者认证不正确缺少授权或者授权不正确缺少加密或者加密不正确操作系统命令注入参数篡改远程代码包含会话劫持cookieURL重写隐藏域SQL注入软件安全保障(SoftwareSecurity Assurance,SSA)开放Web应用安全项目(Open Web Application Security Project,OWASP)要求步骤评估软件和制订修复计划定义数据的各种安全风险并进行分类,优先修复最严重的风险执行全面的代码检查进行必要的更改测试修复并在生产环境中验证它们确实是有效的制定防御机制来保护应用程序的访问及其管理的数据衡量你所做的这些更改的有效性以适当的方式培训管理者、用户和开发人员,以确保良好的应用安全性分析逻辑数据界面约束语言HTMLCSSJS代码注入用户跟踪污染输入设计主导上传的CSSCSS 着色器跨站脚本(XSS)跨站请求伪造(CSRF)浏览器及其插件的漏洞端点防御检测安全漏洞修复http://www.infoworld.com/article/2926221/security/large-scale-attack-hijacks-routers-throughusers-browsers.html预防安全漏洞陷阱一定是存在的创建用户理解并喜欢使用的应用谨慎选择外部数据构建具有天然入侵屏障的应用测试所写代码的可靠性,并详细记录故障及其原因谨慎选择外部库、API 和微服务对所有的应用元素执行全面的测试策略管理应用程序的各个部分,以确保安全防护措施不会在应用上线后失持续跟进最新的安全威胁与解决策略培训开发人员,让他们在每个项目里都自始至终考虑安全问题处理云存储阻止访问允许不受控的访问依赖公司授权的安全场景控制应用程序的访问依赖第三方的解决方案使用外部代码和资源API微服务外部数据解决方案第三方安全解决方案云安全方案选择产品类型成套解决方案子主题数据仓库文件共享考虑云存储开发成功的界面评估UI提供受控制的选择不影响用户交互的前提下,界面越简洁越好创建简洁的界面使界面灵活提供辅助功能可访问性单选按钮复选框列表框菜单HTML5 专有的控件选择UI的解决方案级别实现标准的HTML控件使用CSS控件用JavaScript创建控件校验输入只允许特定的输入查找鬼祟的输入请求新的输入使用客户端和服务器端校验意外构建可靠的代码可靠性安全性可靠性是对应用程序出现故障的频繁程度的度量。这是一个统计学度量。可靠性是对整体系统的衡量。硬件、用户、平台、操作环境、管理技巧以及各种其他因素都会影响可靠性,并改变你对应用程序错误或故障的看法。安全性是对应用程序出现故障时会造成多大影响的度量。想得到既安全又可靠的代码,必须牺牲一些速度子主题开发团队协议考虑可靠性子主题子主题子主题子主题子主题偶然发生的设计或执行错误更改技术恶意可靠性和安全性培训可靠性要求 设计 编码 测试安全源代码处理可靠性和安全性文档 准备 响应 研究完整性检查创建经验教训的反馈回路质量故障点培训处理外部库处理外部API使用框架处理外部API调用微服务包含库库的使用区分内部存储库和外部存储库定义库带来的安全威胁常遇见的威胁清单用库增强CSS用库与HTML交互用库扩展JavaScriptXSS危险的函数调用直接修改document动态创建脚本能执行但会导致安全缺陷的代码与声明不符的内容开发CSP严格模式内容安全策略(Content Security Policy,CSP)安全地包含库充分研究库精确定义库的使用保持库的小规模和内容聚焦执行必需的测试区分库和框架慎用API区分API和库API 比库流行得更快用法上的差异定位合适的API用API扩展JavaScript创建简单示例定义API带来的安全威胁开发阅后即焚的图片Snapchat遭受Shellshock攻击Heartbleed泄露你最重要的信息通过JavaScript安全访问API验证API的安全性测试输入和输出保持数据的局部性和安全性防御性编码考虑使用微服务定义微服务微服务的特点区分微服务与库区分微服务与API考虑微服务的策略用JavaScript调用微服务理解通信中REST的角色用JSON传输数据用Node.js和Seneca创建微服务定义微服务带来的安全威胁缺少一致性考虑虚拟机的角色使用JSON进行数据传输定义传输层的安全创建可替换的微服务路径创建有用及高效的测试策略像黑客一样思考定义Web安全扫描的需求构建测试系统定义最常见的漏洞源在BYOD环境中进行测试依靠用户测试使用外部的安全测试人员创建API安全区域理解API安全区域的概念定义API安全区域的需求用API沙盒进行开发考虑虚拟环境检查库和API的漏洞创建测试计划使用第三方测试找到第三方测试服务创建测试计划实施测试计划使用结果报告实现维护周期明确定义升级周期制订详细的升级周期计划制订升级测试计划将升级移到生产环境考虑更新选项区分升级和更新确定何时更新更新语言套件执行紧急更新制订更新测试计划考虑报告的需要使用报告以做出改变创建内部报告依靠外部生成的报告提供用户反馈查找安全资源跟踪当前的安全威胁发现安全威胁信息的来源阅读与安全相关的专业文章查看安全网站获取顾问的意见避免信息泛滥为基于威胁的升级制订计划预判不需要采取任何行动的情况决定升级还是更新定义升级计划为基于威胁的更新制订计划验证更新是否可解决威胁确定威胁是否紧急定义更新计划要求来自第三方的更新获取必需的培训制订内部的安全培训计划获取第三方对开发人员的培训确保用户有安全意识
本文由MindMaster用户 陈凡 发布,不代表亿图软件立场,如转载,请注明出处:https://mm.edrawsoft.cn/community/
立即使用
分享 |
收藏
|
1

相关模板推荐

《骆驼祥子》思维导图 中小学必读名著之《骆驼祥子》思维导图
《骆驼祥子》思维导图
18237 157
MindMaster 会员免费
《稻草人》读书笔记 中小学必读文章之《稻草人》读书笔记,一起来看下吧!
《稻草人》读书笔记
2700 9
MindMaster 会员免费
《西游记》思维导图 中小学必读书目《西游记》思维导图,一起来看一下吧!
《西游记》思维导图
6329 82
MindMaster 会员免费
查看全部模板专题