Category Archives: 安全控制

web安全防御原理

web安全防御原理 web应用程序的几大防御机制: 1. 处理用户访问应用程序数据和功能,防止用户获得未授权访问。 比如未登录状态下访问, 应该给出什么内容,允许访问哪些区域,没有登录和普通账户登录去访问后台管理页面应该给出什么信息提示,这个就叫处理用户访问应用程序数据和功能,要是非正常的访问我们应该禁止或者给出提醒。

Posted in 安全控制 | Tagged , , , , , | Leave a comment

测试web应用程序的验证,会话管理,访问控制

在早期的时候,web应用程序还不能完全叫应用程序,因为那个时候的web页面都是htm页面,主要功能也只是给人家来看的,即使被攻破也只能对其进行修改或者传播一些不实消息。后来,随着网络技术的发展和人民对网络生活需求的日益提高, web程序从刚开始的给人看, 衍生出了许多贴近生活的功能,比如购物,博客,论坛。 web程序从刚开始的给人提供查看阅读变成了大众生活的一部分, 这个时候, 就要对其进行管理, 为什么要管理? 这个其实跟现实生活一个道理, 比如我买东西, 肯定得先进行确认,然后建立联系, 再进行交易, 要是不确认大家都随便买随便卖那就都乱套了,所以这个时候就得对其进行管理。 因为网络世界和现实世界终究还是有差别的, 必须把完整的指令给它它才知道做什么, 并且,一个平台上又不是只有你一个人, 如果程序要对各种用户提出的请求进行确认是否允许或者拒绝, 前提就得先进行确认,这些请求来源于谁。 web程序发展至今, 流行的验证方式就是通过账户密码from表单确认, 然后服务器颁发一个令牌, 以后客户端再提出什么请求都会带上这个令牌再次进行提交, 以此来进行身份确认。 一些保密性要求比较高的, 还会通过active控件进行加强验证。除此之外,提供验证身份确认的方式还有: 1.http基础认证方式 2. 验证服务 3. 本机导入证书验证 4. 物理令牌验证 针对验证的安全机制, 开发者大多使用这种互联的方式处理用户的访问: 身份验证 会话管理 访问控制

Posted in 安全控制 | Tagged , , , , , | Leave a comment