1、黑名單 白名單原則

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：主機(jī)域名、網(wǎng)絡(luò)空間、營銷軟件、網(wǎng)站建設(shè)、都昌網(wǎng)站維護(hù)、網(wǎng)站推廣。

盡可能使用白名單，不使用黑名單。例如：要做限制過濾的時候，只提供一份可信任的白名單列表，比提供一份不可信任的黑名單

列表進(jìn)行過濾要有效得多。另外，在白名單中應(yīng)小心* 等通配符的使用。 

2、最小權(quán)限原則

即是要注意系統(tǒng)只授予主題必須的權(quán)限，而不是過度授權(quán)。這樣能有效減少系統(tǒng)，數(shù)據(jù)庫，網(wǎng)絡(luò)，應(yīng)用等出錯的機(jī)會。

3、縱深防御原則

兩層含義：

        A：在不同層面，不同方面實施安全方案。

例如：在設(shè)計安全方案時，盡可能考慮到web應(yīng)用安全，os系統(tǒng)安全，數(shù)據(jù)庫安全，網(wǎng)絡(luò)環(huán)境安全等不同層面。共同組成防御體系。

B：在正確的地方做正確的事情，即是要在解決根本問題的地方實施有效的針對性的方案。

例如在對用戶輸入的html進(jìn)行過濾時，要先進(jìn)行語法樹的分析，而不是粗暴的進(jìn)行< 等過濾，以免造成用戶本意想表達(dá)如1<2的意思。

4、數(shù)據(jù)與代碼的分離

像HTML injection  sql injection  SRLF injection  X-PATH injection  均可以根據(jù)該原則設(shè)計出真正的解決方案。

以sql 為例，產(chǎn)生的原因正是因為無法判斷用戶的輸入和該執(zhí)行的sql語句而直接造成的損失。

如 select fieldlist from table where field ='  <input>  ';

當(dāng)輸入為：

select fieldlist from table where field ='  'anything' or 'x'='x'  ';  這時候整個數(shù)據(jù)表的數(shù)據(jù)都將被返回。

5、不可預(yù)測性原則

數(shù)據(jù)與代碼分離是從漏洞的成因上做出防御，而不可預(yù)測性原則則是從克服***方法的角度看待問題。這是一種即使無法修復(fù)代碼，但是讓***變得無效

的成功的防御。

比如：讓程序的棧基址變得隨機(jī)化，使***程序無法準(zhǔn)確猜測到內(nèi)存地址，而大大的提高***的門檻。再比如在一些應(yīng)用系統(tǒng)中，使用隨機(jī)的id。那么如果***者再

想使用類似于

for(int i=0;i<1000;i++){

delete(url="xxx?id="+i);

}

這種方法的***將無效，起碼是先爬取id的值，再進(jìn)行delet操作。同樣的，現(xiàn)在利用token，利用加密算法，隨機(jī)算法，哈希算法等，其實都可以找到這條原則的影子。

當(dāng)前文章：securebydefault原則
標(biāo)題來源：http://www.chinadenli.net/article20/pgdgco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營銷推廣、企業(yè)建站、域名注冊、App設(shè)計、微信小程序、品牌網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)