zoukankan      html  css  js  c++  java
  • 《白帽子讲Web安全》笔记

    Secure By Default 原则

    • “Secure by Default”原则,也可以归纳为白名单、黑名单的思想。

    黑名单、白名单

    • 尽可能使用白名单,不使用黑名单。例如:要做限制过滤的时候,只提供一份可信任的白名单列表,比提供一份不可信任的黑名单。
    • 场景:端口、服务器上装的软件、应用处理用户提交的富文本时,考虑到 XSS 的问题,需要做安全检查。

    最小权限原则

    • Secure By Default 的另一层含义就是“最小权限原则”。最小权限原则也是安全设计的基本
      原则之一。最小权限原则要求系统只授予主体必要的权限,而不要过度授权,这样能有效地减
      少系统、网络、应用、数据库出错的机会。

    纵深防御原则

    • 与 Secure by Default 一样,Defense in Depth(纵深防御)也是设计安全方案时的重要指导
      思想。
    • 纵深防御是要从不同的层面、不同的角度对系统做出整体的解决方案。就如“木桶理论”,能装多少水取决于短板。
    • 在常见的入侵案例中:利用 Web 应用的漏洞->攻击者先获得一个低权限的 webshell->低权限的 webshell 上传更多的文件->尝试执行更高权限的系统命令->尝试在服务器上提升权限为 root->进一步尝试渗透内网,如数据库服务器所在的网段。
  • 相关阅读:
    geoServer的安装
    类设计原则
    零散知识点
    JavaScript setTimeOut()方法的一些疑点自己记录
    贴吧表情雨
    Laravel中tosql()是如何返回sql
    关于new static 与 new self的区别(后续有新发现,会继续更新)
    Lumen、Laravel开发问题记录
    文件实时对比,将数据组装入库(SQLITE)
    PHPSTUDY下升级mysql后无法启动
  • 原文地址:https://www.cnblogs.com/greycdoer0/p/11203756.html
Copyright © 2011-2022 走看看