網(wǎng)站的十大安全措施

1、1. String newName = request.getParameter(“newName“);2. String id = request.getParameter(“id“);從應(yīng)用的架構(gòu)、設(shè)計(jì)和研發(fā)角度總結(jié)了構(gòu)建安全應(yīng)用的十大掌握措施，致力于提高軟件設(shè)計(jì)和開發(fā)人員的安全意識和力量，進(jìn)而提升應(yīng)用的安全性。這十大措施中，有的很具體，有的只是通用的分類，有的是技術(shù)性的，有的是過程相關(guān)的。不過，僅僅指出問題往往是不夠的，開發(fā)人員是

2、應(yīng)用的根底，為了開發(fā)出安全的應(yīng)用，必需要為他們供給必要的幫助和支持。編寫Web 應(yīng)用的軟件開發(fā)人員需要把握和練習(xí)各種安全編碼的技術(shù)。 Web 應(yīng)用的每一層，包括用戶界面、業(yè)務(wù)規(guī)律、掌握器以及數(shù)據(jù)庫代碼，在編寫的時(shí)候都必需將安全問題牢記在心， 這可能是格外困難的一項(xiàng)任務(wù)，由于大多數(shù)開發(fā)人員并沒有太多安全方面的學(xué)問， 而用來構(gòu)建Web 應(yīng)用的語言和框架在安全方面通常缺乏必要的掌握。在需求和設(shè)計(jì)階段，可能也會有固有的缺陷，很少有組織為開發(fā)人員

3、供給需求規(guī)約以指導(dǎo) 他們編寫安全的代碼。1. 參數(shù)化查詢SQL 注入是Web 應(yīng)用中最危急的漏洞之一，由于SQL 注入較為簡潔被黑客探測到并且會給應(yīng)用帶來消滅性的打擊。只需在你的Web 應(yīng)用中注入一條簡潔的惡意SQL，你的整個(gè)數(shù)據(jù)庫可能就會被竊取、擦除或者篡改。在運(yùn)行數(shù)據(jù)庫的主機(jī)上，甚至可以借助Web 應(yīng)用執(zhí)行危急的操作系統(tǒng)命令。為了防止SQL 注入，開發(fā)人員必需阻擋那些不行信任的輸入，這些輸入將會解析成為SQL 命令的一局部。要實(shí)現(xiàn)這

4、一點(diǎn)，最好的一種方式就是使用被稱做查詢參數(shù)化〔Query Parameterization〕的編程技術(shù)。例如，在Java 之中，查詢參數(shù)化如下所示：構(gòu)建用戶界面的話，也就是在將非信任的數(shù)據(jù)添加到HTML 中的時(shí)候。能夠阻止XSS 的編碼形式包括HTML實(shí)體編碼、JavaScript 編碼以及百分號編碼〔也稱為URL 編碼〕。3. 校驗(yàn)全部的輸入編寫安全應(yīng)用時(shí)，很重要的一點(diǎn)就是將全部來自于應(yīng)用外部的輸入〔如來自于掃瞄器或移動(dòng)客戶端，來自于

5、外部系統(tǒng)或文件〕 均視為不行信任的。對于Web 應(yīng)用來說，這包括 頭、cookies 以及GET 和POST 參數(shù)，總而言之也就是任何攻擊者可以入侵的數(shù)據(jù)。構(gòu)建安全Web 應(yīng)用的一個(gè)重要方法就是限制用戶能夠提交到Web 應(yīng)用之中的輸入。限制用戶輸入的技術(shù)稱之為“輸入校驗(yàn)”。在Web 應(yīng)用的效勞器端，輸入校驗(yàn)通常會用到正則表達(dá)式。有兩種輸入校驗(yàn)， 分別為“白名單”和“黑名單”校驗(yàn)。白名單試圖定義好的輸入是什么樣子的， 任何不匹配

6、“好輸入”定義的輸入都會被拒絕?！昂诿麊巍毙ｒ?yàn)會試圖探測的攻擊，只會拒絕這些攻擊和非法字符。黑名單校驗(yàn)更為困難，由于可以通過編碼或其他偽裝技術(shù)繞過，所以在構(gòu)建安全Web 應(yīng)用時(shí)并不推舉使用。但有些時(shí)候正則表達(dá)式是不夠的，假設(shè)你的應(yīng)用要處理markup，也就是不受信任的輸入中會包含HTML 片段，這樣的話會很難進(jìn)展校驗(yàn)，編碼也是很困難的，由于編碼的話會破壞輸入中的標(biāo)簽。此時(shí)，會需要一個(gè)能夠解析和清理HTML格式文本的庫，如OWASP Ja