web安全之路（一）

懂防必先懂攻

信息安全是世界永恒不变的需求

安全三要素

机密性：
要求保证数据内容不能泄露，加密是实现机密性要求的常见手段。要求保证数据内容不能泄露，加密是实现机密性要求的常见手段。常见的加密算法有DES,3DES,MD5,BASE64,AES,RSA,SHA-xxx等（以后会写密码学相关部分的加密算法部分）。
完整性：要求保证数据内容是完整的，没有被篡改的。常见的保证一致性的手段是数字签名。数字签名保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
可用性：要求保护资源是“随需而得”。涉及到的常见的是拒绝服务攻击（DoS）。拒绝服务攻击破环的是安全的可用性。
后续要素：可审计性，不可抵赖性等。

实施安全评估的步骤：

互联网的核心问题就是数据安全问题，数据无价。

资产等级划分：一个组织看重的是什么然后将其视作什么的地位来划分等级。

威胁分析：尽可能的将威胁找出来。微软威胁建模STRIDE模型（6个单词的首字母缩写）。

风险分析：权衡事件发生的可能性，以正确的判断出风险。微软风险建模DREAD模型。
风险有高低：Risk=Probability*Damage Protential

此次区分威胁和风险的区别，不能将其视作一物：一盗贼可能要来偷我包里的一百块钱，我将盗贼视作威胁，而我可能会失去一百块钱，我将这种损失视作风险。

确认解决方案：安全评估的产出物就是解决方案。

设计解决方案的一些基本原则

Secure By Deafault原则：黑名单，白名单，最小权限原则。
Defense in Depth（纵深防御）原则：首先从不同层次，不同角度设计解决方案，然后要在正确的地方做正确的事情。
数据与代码分离原则：写过几亿行代码的你懂的。

web安全之路（一）相关推荐

Web 前端的路该怎么走？
一.了解前端工程师 1.Web前端工程师是做什么? Web前端开发工程师,主要职责是利用(X)HTML/CSS/JavaScript/Flash等各种Web技术进行客户端产品的开发. 2.要做哪些事情 ...
CTF·WEB入门之路
Hello~大家好,这里是KOKO师傅! 对于初学者来说,打CTF之路仿佛是摸石头过河,而今天这篇文章则是一篇"从入门到入土"级别的概括类文章.从这篇文章中你可以了解到CTF的一些 ...
C#打印条码BarTender SDK打印之路和离开之路（web平凡之路）
从来没想过自己会写一篇博客,鉴于这次从未知的探索到一个个难点的攻破再到顺利打印,很想记录这些点滴,让后人少走弯路. 下面走进正题. 需求:取数据库里的相应的字段数据,并生成条形码,可以批量.单条打印. ...
Web前端的路该怎么走？
作者:四哥 https://www.zhihu.com/question/34388831/answer/231745851 前几天群里加进来一个小妹妹,委屈的说自学了好几个月的前端了,好像还没有入门 ...
web安全之路的规划
我的web安全学习策略一.开始前的思考我真的喜欢搞安全吗? 我只是想通过安全赚钱钱吗? 我不知道做什么就是随便. 一辈子做信息安全吗目的本文目的是带大家快速入门web安全,不会搞些虚张声势的东 ...
web前端之路第一个脚印
工作已经两年了,在公司经历过许多,本人也不甚上进,感觉都是用到啥学点什么东西,一直没有真正定位自己的角色,也没有去深入学习一门技术.总是在遇到问题,或者项目需要的时候临阵磨枪去搜索相关文章,直接复制粘 ...
java web 学习之路（学习顺序）建议
第一步:学习HTML和CSS HTML(超文本标记语言)是网页的核心,学好HTML是成为Web开发人员的基本条件.HTML很容易学习的,但也很容易误用,要学精还得费点功夫. 随着HTML5的发展和普及 ...
Flask web开发之路四
jinjia2模板模板渲染和参数传递项目结构如下: 主app文件代码: from flask import Flask,render_templateapp = Flask(__name__)@a ...
Flask web开发之路二
今天创建第一个flask项目,主app文件代码如下: # 从flask这个框架导入Flask这个类 from flask import Flask #初始化一个Flask对象 # Flasks() # ...
WEB标准学习路程之CSS：7.表格,滚动条,打印
表格属性 Table Properties属性 CSS Version版本 Compatibility兼容性 Inherit From Parent继承性 Description简介 border-c ...