系统生命周期安全设计分:安全需求设计,系统安全开发,安全测试,系统上线安全,安全运维等维度,本文详细介绍
1、安全需求设计
安全需求点:防护措施(验证码强度,密码复杂度,通信安全....), 数据保护(敏感信息分类,数据分级保护) , 评审
2、系统安全开发
2.1、开发设计
常见高危漏洞处理方法:
SQL注入
XSS跨站攻击 (包含盲打)
弱口令攻击
任意文件下载
数据导入
文件上传
逻辑漏洞
开发设计
命令执行遍历
节点交互安全
内部互联
外部互联
三方编辑器
Fckediter
ewebediter
错误数据处理
评审
2.2 编码
验证具体函数应用场景
JAVA:1.SQL注入查看变量传入前是否有相应的过滤 2.XSS脚本要查看变量输入出时是否编码 3.其它问题验证
PHP: 1.SQL注入查看变量传入前是否有相应 的过滤 2.XSS脚本要查看变量输入出时是否编码 3.其它问题验证
引入OWASP ESAPI解决OWASP TOP10安全问题
评审
3、安全测试