Java网站安全笔记
来源:互联网 发布:深度linux 安装 编辑:程序博客网 时间:2024/06/16 01:39
- 软件安全特性
- 机密性Confidentiality
- 机密性的密码学应用
- 对称式加密
- 非对称式加密
- 机密性与OWASP
- 机密性的密码学应用
- 完整性Integrity
- 可用性Availability
- 身份认证Authentication
- 授权Authorization
- 审核Auditing
- 会话管理Session Management
- 错误处理Error And Exception Handing
- 机密性Confidentiality
软件安全特性
- C.I.A
- 机密性(Confidentiality)
- 完整性(Integrity)
- 可用性(Availability)
- TripleA
- 身份认证(Authentication)
- 授权(Authorization)
- 审核(Auditing)
- Others
- 会话管理(Session Management)
- 错误处理(Error And Exception Handing)
OWASP Top10 - 2017年
以上是2017新推出的OWASP前10大漏洞,后文根据各个模块分别详细讲述,笔记内容并不是2017年的,所以有所差别。
机密性(Confidentiality)
机密性需求必须考虑的阶段
- 传输时
- 处理时
- 存储时
机密性的密码学应用
对称式加密
指加密与解密时,使用同一把密钥的加密方式。优点是速度非常快,相对于非加密式而言,约是100~1000倍快。缺点如下
- 除了传输密文,还需要传输密钥,安全性没有很好的保障
- 每增加一个接收方,就必须多一把密钥,造成密钥的管理困难
非对称式加密
指加密与解密时,使用不同的密钥,但公钥与私钥是配对的。非对称加密解决了对称加密的2个缺点。
HTTPS协议综合对称式加密与非对称式加密
加密应用应该遵守的原则有
- 使用公开的,国际机构认证的,且未遭破解的加密算法,不使用自行创建的加密方式
- 使用该加密方式支持的最大长度
- 密钥保存是关键,且应该定期更换密钥
机密性与OWASP
- 发生原因
- 最常见的是未加密敏感数据
- 使用脆弱的密钥管理方式,脆弱的加密算法和不够高的密钥长度
- 常见种类
- 敏感资料传输未使用加密通道。密码等敏感数据未使用加密,或未加salt(即密码加盐操作)
- 威胁来源
- 考虑谁可以存取资料,包含于传输过程,存储时,甚至备份后
- 攻击困难度
- 高,攻击者通常不通过暴力破解密码,而是通过窃取密钥,或是中间人攻击(man in the middle),或趁传输前后,存储前后,即密码还是明文时窃取
- 散播性
- 低,该弱点不具有散播性
- 可侦测性
- 中,必须全面考虑敏感数据的生命周期中各阶段的保护措施
- 技术面影响
- 高,依赖于保护措施
- 商业面影响
- 高
完整性(Integrity)
可用性(Availability)
身份认证(Authentication)
授权(Authorization)
审核(Auditing)
会话管理(Session Management)
错误处理(Error And Exception Handing)
未晚待续。。本笔记均从蔡宗霖先生的《Java网站安全防护实务手册》整理出来。
阅读全文
0 0
- Java网站安全笔记
- 网站安全笔记
- 网站安全笔记代码
- java 安全 笔记
- 安全检测Java Web应用网站漏洞
- 安全检测Java Web应用网站漏洞
- java笔记-多线程-线程安全
- 网站安全-java实现小型网站登录破解攻略
- 网站安全
- 网站安全
- 网站安全
- 网站安全
- 安全网站
- 网站安全
- Windows出错笔记:此网站的安全证书有问题
- Java网站后端开发笔记
- 《Java虚拟机学习笔记》- 第三章 安全
- Java keytool 安全证书学习笔记
- java后台面试题整理
- python中关于分片拷贝
- 三角形的判定
- 实训项目第一周
- SGU 106 The equation(扩展欧几里德)
- Java网站安全笔记
- 使用Jquery官方自带的显示时间的一款插件jquery.jclock.js
- 双链表(尾部有序)
- python导入gensim出现警告
- 最难的一句sql
- 信号屏蔽字&信号未决字
- 关于gperftools
- Java编程题2
- Intellij IDEA 添加jar包的三种方式