web安全层面关注点
应用安全
- 运行应用的用户权限,默认都是为应用单独分配一个用户
- 应用内程序文件生成的权限,不可有执行的权限
- 目录访问的权限
控制输入内容
- 控制http参数
- 文件上传
- sql注入
- html注入
- 数据敏感词
保证业务安全
- 防止暴力破解
- 不安全的直接对象引用
- 不要信任用户输入的数据
- 严格的权限控制
保证数据的安全
- 不可预见性
- 控制资源访问的频率
- 记录数据操作记录
控制输出内容
- 过滤敏感信息
- 系统内部的错误日志不可直接输出
Comments
web安全层面关注点