疫情后Web安全问题的处理措施
来源:郑州达内IT教育培训机构时间:2021/10/9 9:12:00
疫情后Web安全问题的处理措施
现于今,web开发是市面上较流行的开发方式,也是因为如此,很多投机倒把的人就有了歪心思,想要利用web的安全方面来牟利,为了对抗这种人,web安全技术就应运而生。
针对于web的安全问题,业界一共提出了四种防御机制,在根据这四种机制形成具体的处理措施,我们一起来看一下技术人员到底是怎样来维护web的安全的吧。
四种防御机制具体如下:(1)处理用户访问应用程序的数据和功能,防止用户未经授权的访问。(2)处理用户输入的应用功能,防止输入错误造成的不良行为。(3)处理攻击者,确保应用程序能够正常运行,并采取适当的防御和攻击措施来挫败攻击者。(4)管理应用本身,帮助管理员监控自己的行为,配置自己的功能。
根据这四种机制,有一些理论做法。
处理用户访问
事实上,所有应用程序都必须满足中央安全要求,即处理用户对数据的访问。大多数Web应用程序使用三层相互关联的安全机制来处理用户访问:
(1)身份验证。
(2)会话管理。
(3)访问控制。
处理用户输入
在许多情况下,应用程序可能会严格确认和检查一些特殊的输入。例如,提交登录功能的用户名较多为8个字符,只能包含字母。
在其他情况下,应用程序必须接受更多的输入。例如,提交到个人信息页面的地址栏可以合法包含字母、数字、空格、连接字符、撇号等字符。但是仍然可以有效地限制这个字段。例如,提交的数据不能超过适当的长度限制,也不能包含任何HTML标记。
几种输入处理方法:
(1)“拒绝已知不良输入”
(2)“接受已知的正常输入”
(3)净化输入数据:完全删除数据中可能存在的恶意字符,只留下一个已知安全的字符,或者在进一步处理之前进行适当的编码或转义。
(4)安全数据处理:用户提交的数据以不安全的方式处理eb应用漏洞的根源。有时候可以用安全的编程方法来避免一些常见的问题。
(5)语法检查:为了防止未经授权的访问,应用程序必须确认提交的账户属于以前提交的用户。
(6)边界确认:服务器端应用程序接收用户数据的地方是重要的信任边界。因此,应用程序需要对恶意输入采取预防措施。
边界确认的必要性
当你开始分析一些实际漏洞时,这样简单的输入确认是不够的。原因如下:
(1)基于应用程序执行的功能的广泛性和使用的技术的多样性,一个典型的应用程序需要防御大量基于输入的攻击,每个攻击都可能使用不同的专门设计的数据集,因此很难在外部边界建立单独的机制来防御所有这些攻击。
(2)许多应用的功能涉及合并一系列不同的处理过程。
(3)防止不同类型的基于输入的攻击需要对相互冲突的用户输入进行各种确认检查。例如:防止跨站点脚本攻击可能要求HTML">"编码为">,而防止命令注入攻击则要求防止输入包含&和;字符。有时候,在应用程序的外部边界几乎不可能同时阻止所有类型的攻击。
边界确认是一种更有效的模型。此时,服务器端应用程序的每个独立组件或功能单元都将输入视为来自潜在恶意源的输入处理。除客户端和服务器的外部边界外,应用程序还会确认每个信任边界的数据。该模型为前面提出的问题提供了解决方案。每个组件都可以防止它接收到的特殊类型的特殊设计输入。如果数据通过不同的组件,可以在之前转换过程中生成的任何数据值上进行确认检查。此外,由于在不同的处理阶段进行不同的确认检查,它们之间不会有冲突。
尊重原创文章,转载请注明出处与链接:http://www.peixun360.com/3849/news/419782/违者必究!
以上就是郑州达内IT教育培训机构 小编为您整理 疫情后Web安全问题的处理措施的全部内容。
.png)
手机版
网站首页
全国服务热线:400-035-8011
