現(xiàn)代web安全防護(hù)機(jī)制主要基于兩方面的機(jī)制骆膝。
下面將主要介紹第一方面的內(nèi)容:處理用戶訪問的相關(guān)機(jī)制
1.身份驗(yàn)證放闺,身份驗(yàn)證是應(yīng)用程序處理用戶訪問最基本的機(jī)制,通過對(duì)身份驗(yàn)證機(jī)制的驗(yàn)證測(cè)試可以允許攻擊者非法訪問敏感數(shù)據(jù)和內(nèi)容。
2.會(huì)話管理霞怀,用戶登錄以后與web應(yīng)用程序會(huì)直接建立會(huì)話传货,這時(shí)候服務(wù)器端會(huì)給用戶發(fā)布標(biāo)識(shí)會(huì)話的令牌屎鳍,通過該令牌可以直接辨識(shí)用戶身份,而http cookie就是其中一種手段问裕,cookie的產(chǎn)生過程也是黑客進(jìn)行攻擊的著眼點(diǎn)逮壁。
3.訪問控制機(jī)制,這是設(shè)計(jì)最復(fù)雜的機(jī)制粮宛,可以進(jìn)行重點(diǎn)的關(guān)注貌踏。
第二方面的內(nèi)容,處理用戶輸入的相關(guān)機(jī)制:
1.輸入處理的手段:
a.黑名單策略窟勃,拒絕已知的不良輸入祖乳。
b.白名單策略,只接受已知的正常輸入
c.凈化秉氧,對(duì)已知的用戶進(jìn)行輸入進(jìn)行html編碼等眷昆。
d.安全數(shù)據(jù)處理,保證命令執(zhí)行過程中能正常執(zhí)行汁咏。
2.邊界確認(rèn)機(jī)制
我們應(yīng)該把所有的用戶輸入當(dāng)成不良且不可信的亚斋,因此需要進(jìn)行一個(gè)邊界確認(rèn)機(jī)制,保證系統(tǒng)執(zhí)行的是可信且正常的攘滩,因此需要進(jìn)行一個(gè)邊界檢查帅刊,常用可以用來進(jìn)行一個(gè)邊界確認(rèn)手段如下:
a.表單處理程序應(yīng)當(dāng)確認(rèn)用戶輸入僅包含正常字符。
b.為防止注入攻擊和跨站點(diǎn)腳本攻擊漂问,應(yīng)當(dāng)進(jìn)行對(duì)用戶輸入進(jìn)行編碼轉(zhuǎn)義
c.多重確認(rèn)以及規(guī)范化赖瞒,需要對(duì)用戶輸入進(jìn)行規(guī)范化和過濾女揭。
3.處理攻擊者
處理有可能出現(xiàn)攻擊者相關(guān)機(jī)制,主要有以下幾方面:
a.處理相關(guān)錯(cuò)誤栏饮,錯(cuò)誤可以給別有用心的攻擊者暴露一些信息吧兔,可被黑客利用。
b.維護(hù)審計(jì)日志袍嬉,有利于進(jìn)行數(shù)字取證和后續(xù)的足跡追蹤境蔼。
c.向管理員發(fā)出警報(bào),可進(jìn)行良好的預(yù)警伺通,但要處理好誤報(bào)和不報(bào)之間的關(guān)系箍土。
d.應(yīng)對(duì)攻擊,對(duì)于能明顯標(biāo)識(shí)出為攻擊者的手段罐监,應(yīng)該有相應(yīng)的手段措施涮帘,例如對(duì)爆破進(jìn)行封鎖ip等。
