Web應用程式安全必須重視八大問題

對於任何一個專案，開始階段對於交付安全的應用來說非常關鍵。 適當的安全要求會導致正確的安全設計。 下面討論在分析Web應用程式的安全要求時需要考慮的八大問題。 1、認證和口令管理：這主要是一種一次性的活動而且僅僅是作為專案的一部分而完成的。 有人可能會問一些與認證和口令管理有關的問題：◆口令策略：這個問題非常重要的原因在於避免與使用者憑據有關的字典攻擊。 ◆口令雜湊演算法：確保通過適當的加密演算法來加密口令也非常重要。 ◆口令重置機制：為了避免駭客修改或截獲口令，重置機制非常關鍵。 2、認證和角色管理：在分析專案的安全問題時，要確認所有的關鍵功能，並確認哪些人可以獲得授權訪問這些功能。 這樣做有助於確認各種不同的角色，並可以使存取控制到位。 3、審計日誌記錄。 詢問並確認所有與已經發生的攻擊有關的所有關鍵業務是很重要的，這是因為這些攻擊對企業的會產生重大影響。 企業應當能夠分析與這些業務有關的審計日誌記錄。 4、協力廠商元件分析。 詢問並分析一下企業是否必須使用協力廠商的元件也是一個重要問題。 在此基礎上，企業分析與這些元件有關的已知漏洞，並做出恰當的建議。 5、輸入資料驗證和淨化。 詢問並理解和分析輸入資料的屬性，並為數據的驗證和淨化做好計畫是很重要的。 這種操作主要與解決跨站腳本攻擊這類漏洞有關。 資料驗證和淨化還有助於避免SQL注入的大規模發生。 6、加密和金鑰管理。 這是為了分析是否存在需要保證其安全的業務，並且這些業務是否需要握手機制(在處理業務之前，可使用多種與公開金鑰或私密金鑰的交換有關的多種技術來實施這種機制)。 7、原始程式碼的完整性：這是一種一次性的活動，並且要求在專案的開始階段完成。 這樣做有助於如下兩個方面：原始程式碼應當存放在一個有良好安全保障的控制倉庫中，並且在遵循「最少特權」的原則前提下，有強健的認證和基於角色的存取控制。 你還應當關注關於原始程式碼庫和相關工具的問題。 此外，在代碼的開發及傳輸過程中，你還可以分析關於原始程式碼容器的工具問題以及代碼的保護問題。 8、原始程式碼的管理。 討論原始程式碼的審查策略是一個關鍵問題，因為這種做法會要求自動化的和人工的代碼檢查問題，並且在一定程度上會影響總體的專案時間(要求進行代碼檢查時間和針對檢查意見的修復時間)。 這是一種一次性的活動，因而應當在專案的開始階段完成。 【編輯推薦】使用者容易忽視的Web應用安全威脅如何保證Web應用程式安全性？ Web應用安全十大主動安全措施如何基於Web應用程式安全經驗來開發雲應用程式?提升WEB應用程式安全需要打「組合拳」【責任編輯：藍雨淚 TEL：（010）68476606】 原文：Web應用程式安全必須重視八大問題 返回網路安全首頁