AV在线资源/欧美综合亚洲日韩精品图片区/国产亚洲一区二区三区不卡/黄色网址在线播放

| 國(guó)家高新技術(shù)企業(yè)

想要開(kāi)發(fā)出一個(gè)安全的、健壯的Web應(yīng)用其實(shí)是非常困難的,如果你覺(jué)得這實(shí)現(xiàn)起來(lái)非常簡(jiǎn)單的話,那么你一定是一個(gè)X炸天的程序猿,要么你就是在白日做夢(mèng)……

1.png

寫(xiě)在前面的話

如果你覺(jué)得你可以在一個(gè)月之內(nèi)開(kāi)發(fā)出一款集使用價(jià)值、用戶體驗(yàn)度、以及安全性為一身的產(chǎn)品,那么在你將產(chǎn)品原型真正推上市場(chǎng)之前,請(qǐng)一定要三思??!

當(dāng)你仔細(xì)核查了本文給出的安全小貼士之后,你可能會(huì)發(fā)現(xiàn)你在產(chǎn)品的開(kāi)發(fā)階段跳過(guò)了很多重要的安全步驟。有的時(shí)候,也許你應(yīng)該對(duì)你的用戶坦誠(chéng)一點(diǎn),你應(yīng)該誠(chéng)實(shí)地告訴他們這款產(chǎn)品還沒(méi)有完全搞定,還有很多的安全問(wèn)題亟待解決。

下面的這份速查表非常簡(jiǎn)潔,而且絕對(duì)還有很多東西沒(méi)有涉及到。就我個(gè)人而言,我從事安全Web應(yīng)用開(kāi)發(fā)工作已經(jīng)超過(guò)14年了,而本文給出的小貼士都是讓我在過(guò)去一段時(shí)間里曾痛苦不堪的重要安全問(wèn)題。我希望大家可以認(rèn)真對(duì)待,不僅是對(duì)用戶負(fù)責(zé),也要對(duì)自己的職業(yè)生涯負(fù)責(zé)。

數(shù)據(jù)庫(kù)篇

1.    對(duì)類似訪問(wèn)令牌、電子郵箱地址或賬單詳情進(jìn)行加密處理,尤其是用戶的身份識(shí)別信息(密碼)。

2.    如果你的數(shù)據(jù)庫(kù)支持低成本加密,請(qǐng)確保開(kāi)啟這項(xiàng)功能并保護(hù)主機(jī)磁盤(pán)中的數(shù)據(jù)。與此同時(shí),確保所有的備份文件都進(jìn)行了加密存儲(chǔ)。

3.    按照最小權(quán)限原則給數(shù)據(jù)庫(kù)訪問(wèn)賬號(hào)分配權(quán)限,不要使用數(shù)據(jù)庫(kù)的root賬號(hào)。

4.    使用密鑰存儲(chǔ)器來(lái)保存或派發(fā)密鑰,不要直接將密鑰硬編碼在你的應(yīng)用之中。

5.    通過(guò)使用SQL預(yù)處理語(yǔ)句來(lái)避免SQL注入攻擊。比如說(shuō),如果你使用的是NPM,那么請(qǐng)不要使用npm-mysql,你應(yīng)該用的是npm-mysql2,因?yàn)樗С諷QL預(yù)處理語(yǔ)句。

開(kāi)發(fā)篇

1.    確保你軟件中所有組件的每一個(gè)版本都進(jìn)行了漏洞掃描,包括接口、協(xié)議、代碼以及數(shù)據(jù)包。

2.    對(duì)產(chǎn)品中所有使用到的第三方工具時(shí)刻保持警惕性,選擇一款安全系數(shù)較高的開(kāi)發(fā)平臺(tái)。

身份驗(yàn)證篇

1.    使用合適的加密算法(例如bcrypt)來(lái)計(jì)算并存儲(chǔ)密碼哈希,在初始加密時(shí)選擇合適的隨機(jī)數(shù)據(jù),還有就是千萬(wàn)不要自己去寫(xiě)一個(gè)加密算法。

2.    使用簡(jiǎn)單但健壯的密碼規(guī)則,以鼓勵(lì)用戶設(shè)置長(zhǎng)度足夠安全的隨機(jī)密碼。

3.    在服務(wù)的登錄機(jī)制中引入多因素身份驗(yàn)證功能。

DoS保護(hù)篇

1.    確保那些針對(duì)API的DoS攻擊不會(huì)嚴(yán)重影響你網(wǎng)站的正常運(yùn)行,至少要限制API的請(qǐng)求訪問(wèn)速率。

2.    對(duì)用戶所提交的數(shù)據(jù)和請(qǐng)求進(jìn)行結(jié)構(gòu)和大小的限制。

3.    使用類似CloudFlare這樣的緩存代理服務(wù)來(lái)為你的Web應(yīng)用添加DDoS緩解方案

2.png

Web流量篇

1.    使用TLS,不只是你的登錄表單和網(wǎng)站響應(yīng)數(shù)據(jù),而是你的整個(gè)網(wǎng)站都應(yīng)該使用TLS。

2.    Cookie必須為httpOnly。

3.    使用CSP(內(nèi)容安全策略),雖然配置過(guò)程比較麻煩,但這覺(jué)得是值得的。

4.    在客戶端響應(yīng)中使用X-Frame-Option和X-XSS-Protection頭。

5.    使用HSTS響應(yīng),使用HTTPS。

6.    在所有的表單中使用CSRF令牌。

API篇

1.    確保你所有的公共API中沒(méi)有可以枚舉的資源。

2.    確保用戶在使用你的API之前,對(duì)他們的身份進(jìn)行驗(yàn)證。

驗(yàn)證篇

1.    在客戶端對(duì)用戶的輸入進(jìn)行驗(yàn)證,并即使給予反饋(Ajax),但永遠(yuǎn)不要相信用戶輸入的數(shù)據(jù)。

2.    在服務(wù)器端再對(duì)用戶所輸入的每一個(gè)字符進(jìn)行一次徹底的驗(yàn)證,永遠(yuǎn)不要直接將用戶輸入的內(nèi)容注入到響應(yīng)數(shù)據(jù)中,永遠(yuǎn)不要直接在SQL語(yǔ)句中插入用戶提供的數(shù)據(jù)。

云端配置篇

1.    確保所有的服務(wù)只開(kāi)啟必要的端口,關(guān)閉不用的端口,并對(duì)常用端口進(jìn)行強(qiáng)制性的安全保護(hù),因?yàn)橥ㄟ^(guò)非標(biāo)準(zhǔn)端口來(lái)進(jìn)行攻擊對(duì)于攻擊者而言相對(duì)來(lái)說(shuō)是比較困難的。

2.    確保服務(wù)器后臺(tái)數(shù)據(jù)庫(kù)和后臺(tái)服務(wù)無(wú)法通過(guò)公網(wǎng)查看到。

3.    在單獨(dú)的VPC節(jié)點(diǎn)配置邏輯服務(wù)或提供服務(wù)內(nèi)通信。

4.    確保所有的服務(wù)只接受來(lái)自有限IP地址的數(shù)據(jù)。

5.    限制輸出數(shù)據(jù)的IP地址以及端口。

6.    使用AWS IAM角色,不要使用root憑證。

7.    對(duì)所有的管理員和開(kāi)發(fā)人員提供最小的訪問(wèn)權(quán)限。

8.    定期更換密碼和訪問(wèn)密鑰。

基礎(chǔ)設(shè)施篇

1.    確??梢栽谥鳈C(jī)不下線的情況下進(jìn)行更新操作,確保部署了全自動(dòng)化的軟件更新策略。

2.    使用類似Terraform這樣的工具來(lái)創(chuàng)建所有的基礎(chǔ)設(shè)施,不要使用云端console(控制臺(tái))來(lái)進(jìn)行創(chuàng)建。

3.    對(duì)所有服務(wù)的日志進(jìn)行集中記錄,不要通過(guò)SSH來(lái)訪問(wèn)或獲取日志。

4.    不要讓AWS服務(wù)組的端口22保持開(kāi)啟狀態(tài)。

5.    一定要部署入侵檢測(cè)系統(tǒng)。

操作篇

1.    關(guān)閉不用的服務(wù)和服務(wù)器,因?yàn)樽畎踩姆?wù)器是那些關(guān)閉著的服務(wù)器。

測(cè)試篇

1.    開(kāi)發(fā)完成之后,對(duì)你的設(shè)計(jì)和代碼實(shí)現(xiàn)進(jìn)行多次安全審查。

2.    進(jìn)行滲透測(cè)試,也就是自己黑自己,但你也要讓別人來(lái)對(duì)你的網(wǎng)站進(jìn)行滲透測(cè)試。

計(jì)劃篇

1.    創(chuàng)建一個(gè)安全威脅模型,用來(lái)描述你可能會(huì)遇到的威脅以及攻擊者。

2.    設(shè)計(jì)一個(gè)安全應(yīng)急響應(yīng)方案,你總有一天會(huì)用到的。

3.png


領(lǐng)科互聯(lián)網(wǎng)科技】專注于為客戶提供網(wǎng)站建設(shè)、移動(dòng)端開(kāi)發(fā)、微信開(kāi)發(fā)、系統(tǒng)開(kāi)發(fā)、電商構(gòu)建等IT技術(shù)服務(wù)