|
万事开头难,对于任何一个项目来说,开始阶段对于交付安全的应用非常的关键。适当的安全方面的要求会导致正确的安全设计。下面我们来看一下在分析Web应用程序的安全要求时我们需要考虑到的问题。 1、认证和口令管理:这是一种仅仅作为项目的一部分而完成的并且是一次性的活动。 口令策略:它非常重要的一个绝对性的原因在于避免与用户凭据有关的字典攻击; 口令哈希算法:确保通过适当的加密口令是十分重要的; 口令重置机制:这是为了避免黑客修改或截获口令,也是非常重要的一点。 2、认证和角色管理:我们在分析项目安全问题前,要确认好所有的关键功能,并确认有哪些人可以获得授权来访问这些功能。这样有助于确认各种各不同的角色,以便于使访问控制到位。 3、审计日记记录:因为某些攻击会对企业造成很大的影响,所以我们有必要去详细的了解分析与攻击有关的关键业务。所以企业分析与这些业务有关的审计日志记录是非常重要的一项。 4、第三方组建分析:询问并分析企业是否必须要使用第三方的组建也是一个重要的问题。在此基础上企业会分析与这些组件有关的一直漏洞,并做出相应的建议。 5、输入数据验证和净化:正确全面的了解和分析输入数据的属性,为数据的验证和净化做好准备性的计划是很重要的。这种操作主要是与解决跨站脚本攻击这类的漏洞有关。此操作还能有效的避免SQL注入的大规模发生。 6、加密和密钥管理:其目的是分析是否存在需要保障其安全的业务,这些业务是否需要握手机制(即对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步,根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系,并建立虚连接)。我们在处理业务之前,可以使用与公钥或私钥的交换有关的多种技术来实现这种机制。 7、源代码的完整性:这是一种要求在项目的开始阶段完成的一次性的活动。这样做有两个方面的好处:源代码应该存放在一个有良好保障的控制仓库中,并且在遵循“最少特权”的原则前提下,有强健的认证和基于角色的访问控制。我们还要关注源代码和相关工具的问题。此外,在代码开发及传输的过程中,你还可以分析关于源代码容器的工具问题以及代码的保护问题。 8、源代码的管理:这也是一种在项目开始阶段完成的一次性的活动。讨论源代码的审查策略是一个关键性的问题,应为这种做法会要求自动化的和人工的代码检查问题,并在一定的程度上会影响总体的项目时间(要求进行代码检查时间和针对检查意见的修复时间)。 |
|
|
