web安全层面关注点

应用安全

  • 运行应用的用户权限,默认都是为应用单独分配一个用户
  • 应用内程序文件生成的权限,不可有执行的权限
  • 目录访问的权限

控制输入内容

  • 控制http参数
  • 文件上传
  • sql注入
  • html注入
  • 数据敏感词

保证业务安全

  • 防止暴力破解
  • 不安全的直接对象引用
  • 不要信任用户输入的数据
  • 严格的权限控制

保证数据的安全

  • 不可预见性
  • 控制资源访问的频率
  • 记录数据操作记录

控制输出内容

  • 过滤敏感信息
  • 系统内部的错误日志不可直接输出
Comments
Write a Comment