java web应安全——防御核原则
of 1 8
"
"
java web应安全——防御核原则"
"
1Hacking Handbook"
1.1 Handling user access to the application’s data and functionality to prevent users
from gaining unauthorized access!
1.2 Handling user input to the application’s functions to prevent malformed input
from causing undesirable behavior!
1.3 Handling attackers to ensure that the application behaves appropriately when
being directly targeted, taking suitable defensive and offensive measures to
frustrate the attacker!
1.4 Managing the application itself by enabling administrators to monitor its
activities and configure its functionality!
"
2公司java安全编码指南!
2.1最攻击原则!
由于软件系统不可能绝对的安全,所以必须重视的是:默认情况下应仅将多数户
需要使的功能对所有户开放,且尽量尽可能最低的权限安装使开放那些功
能。 对攻击要素进度量可为产品组提供默认安全性的现度量标准,使产品
组可以检测到令软件易受攻击的情况。 尽管有些增加攻击的情况可能是因为增
加了产品功能或可性导致的,但是在设计和实施过程中还是需要对每种这样的情况
进认真检测和研究,以确保软件交付时在默认配置下具有最好的安全性。!
2.2深度防卫原则!
深度防御(有时称为深度安全性或多层安全性)是个军事术语,是指以层层的安全
性反制措施,构建个深具凝聚、没有任何弱点的安全环境。组成深度防御策略的
安全保护层,包含范围是从外部路径直到资源所在之处,其中的所有节点均应路
部署保护措施。部署了多层的安全性之后,若某层被攻破,其他层仍能提供必要的
保护。例如,web应层被攻破,但是法攻破到数据库层,或攻数据库后数据全
部都是加密存储。理想上每层都应该提供不同形式的反制措施,以预防相同的攻击
法被运到各个层次上。!