zoukankan      html  css  js  c++  java
  • 《白帽子讲Web安全》笔记

    Secure By Default 原则

    • “Secure by Default”原则,也可以归纳为白名单、黑名单的思想。

    黑名单、白名单

    • 尽可能使用白名单,不使用黑名单。例如:要做限制过滤的时候,只提供一份可信任的白名单列表,比提供一份不可信任的黑名单。
    • 场景:端口、服务器上装的软件、应用处理用户提交的富文本时,考虑到 XSS 的问题,需要做安全检查。

    最小权限原则

    • Secure By Default 的另一层含义就是“最小权限原则”。最小权限原则也是安全设计的基本
      原则之一。最小权限原则要求系统只授予主体必要的权限,而不要过度授权,这样能有效地减
      少系统、网络、应用、数据库出错的机会。

    纵深防御原则

    • 与 Secure by Default 一样,Defense in Depth(纵深防御)也是设计安全方案时的重要指导
      思想。
    • 纵深防御是要从不同的层面、不同的角度对系统做出整体的解决方案。就如“木桶理论”,能装多少水取决于短板。
    • 在常见的入侵案例中:利用 Web 应用的漏洞->攻击者先获得一个低权限的 webshell->低权限的 webshell 上传更多的文件->尝试执行更高权限的系统命令->尝试在服务器上提升权限为 root->进一步尝试渗透内网,如数据库服务器所在的网段。
  • 相关阅读:
    HDU--2546 饭卡(01背包)
    UVA--562 Dividing coins(01背包)
    UVA--624 CD(01背包+路径输出)
    PKU--3628 Bookshelf 2(01背包)
    ExecutorService介绍2
    ExecutorService介绍
    mac下设置命令别名
    如何在sourcetree 下提交代码到gerrit上
    vim下如何删除某行之后的所有行
    VMware网络设置的三种方式
  • 原文地址:https://www.cnblogs.com/greycdoer0/p/11203756.html
Copyright © 2011-2022 走看看