web安全之路(一)
懂防必先懂攻
信息安全是世界永恒不变的需求
安全三要素
- 机密性:
要求保证数据内容不能泄露,加密是实现机密性要求的常见手段。要求保证数据内容不能泄露,加密是实现机密性要求的常见手段。常见的加密算法有DES,3DES,MD5,BASE64,AES,RSA,SHA-xxx等(以后会写密码学相关部分的加密算法部分)。 - 完整性:要求保证数据内容是完整的,没有被篡改的。常见的保证一致性的手段是数字签名。数字签名保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
- 可用性:要求保护资源是“随需而得”。涉及到的常见的是拒绝服务攻击(DoS)。拒绝服务攻击破环的是安全的可用性。
- 后续要素:可审计性,不可抵赖性等。
实施安全评估的步骤:
互联网的核心问题就是数据安全问题,数据无价。
资产等级划分:一个组织看重的是什么然后将其视作什么的地位来划分等级。
威胁分析:尽可能的将威胁找出来。微软威胁建模STRIDE模型(6个单词的首字母缩写)。
风险分析:权衡事件发生的可能性,以正确的判断出风险。微软风险建模DREAD模型。
风险有高低:Risk=Probability*Damage Protential
此次区分威胁和风险的区别,不能将其视作一物:一盗贼可能要来偷我包里的一百块钱,我将盗贼视作威胁,而我可能会失去一百块钱,我将这种损失视作风险。
确认解决方案:安全评估的产出物就是解决方案。
设计解决方案的一些基本原则
- Secure By Deafault原则:黑名单,白名单,最小权限原则。
- Defense in Depth(纵深防御)原则:首先从不同层次,不同角度设计解决方案,然后要在正确的地方做正确的事情。
- 数据与代码分离原则:写过几亿行代码的你懂的。
web安全之路(一)相关推荐
- Web 前端的路该怎么走?
一.了解前端工程师 1.Web前端工程师是做什么? Web前端开发工程师,主要职责是利用(X)HTML/CSS/JavaScript/Flash等各种Web技术进行客户端产品的开发. 2.要做哪些事情 ...
- CTF·WEB入门之路
Hello~大家好,这里是KOKO师傅! 对于初学者来说,打CTF之路仿佛是摸石头过河,而今天这篇文章则是一篇"从入门到入土"级别的概括类文章.从这篇文章中你可以了解到CTF的一些 ...
- C#打印条码BarTender SDK打印之路和离开之路(web平凡之路)
从来没想过自己会写一篇博客,鉴于这次从未知的探索到一个个难点的攻破再到顺利打印,很想记录这些点滴,让后人少走弯路. 下面走进正题. 需求:取数据库里的相应的字段数据,并生成条形码,可以批量.单条打印. ...
- Web前端的路该怎么走?
作者:四哥 https://www.zhihu.com/question/34388831/answer/231745851 前几天群里加进来一个小妹妹,委屈的说自学了好几个月的前端了,好像还没有入门 ...
- web安全之路的规划
我的web安全学习策略 一.开始前的思考 我真的喜欢搞安全吗? 我只是想通过安全赚钱钱吗? 我不知道做什么就是随便. 一辈子做信息安全吗 目的 本文目的是带大家快速入门web安全,不会搞些虚张声势的东 ...
- web前端之路 第一个脚印
工作已经两年了,在公司经历过许多,本人也不甚上进,感觉都是用到啥学点什么东西,一直没有真正定位自己的角色,也没有去深入学习一门技术.总是在遇到问题,或者项目需要的时候临阵磨枪去搜索相关文章,直接复制粘 ...
- java web 学习之路(学习顺序)建议
第一步:学习HTML和CSS HTML(超文本标记语言)是网页的核心,学好HTML是成为Web开发人员的基本条件.HTML很容易学习的,但也很容易误用,要学精还得费点功夫. 随着HTML5的发展和普及 ...
- Flask web开发之路四
jinjia2模板 模板渲染和参数传递 项目结构如下: 主app文件代码: from flask import Flask,render_templateapp = Flask(__name__)@a ...
- Flask web开发之路二
今天创建第一个flask项目,主app文件代码如下: # 从flask这个框架导入Flask这个类 from flask import Flask #初始化一个Flask对象 # Flasks() # ...
- WEB标准学习路程之CSS:7.表格,滚动条,打印
表格属性 Table Properties属性 CSS Version版本 Compatibility兼容性 Inherit From Parent继承性 Description简介 border-c ...
最新文章
- 绑定CPU逻辑核心的利器——taskset
- 按摩师-总预约时间最长
- 面试高频题:Hash一致性算法是如何解决数据倾斜问题的?
- 算法 | 最速降线问题与最小旋转面问题(变分法)
- [leetcode]509. 斐波那契数
- 实验七:Xen环境下cirrOS的安装配置
- android 动态广告图片,android – 如何在动态壁纸的设置屏幕中添加一个admob广告视图?...
- boost 容器tuple 信号signal2测试
- C#学习基本概念---xcopy(复制文件和目录树)
- c语言字符串strl复制转换,C语言字符串基础学习
- Linux网站搭建(1)---Apache2安装配置
- Axure 9.0 上使用 Font Awesome 图标库
- android录屏软件大全,安卓免费录屏软件哪个好用 免费长时间录屏软件推荐
- XAMPP升级PHP版本的步骤
- 清华计算机学院博士后,清华大学博士后
- 去除input默认的加减号
- 使用Python实现Linux命令的批量执行
- 小红书怎么推广笔记?小红书推广笔记有什么用?
- 【数据分析】—— 指标与指标体系
- 中图分类法----TU 建筑工业