一个合格的PHPer,一定是要考虑web的安全的问题的,今天就简单的总结一下web的常识性的知识:
1.安全问题的本质是信任的问题
安全问题的三要素:机密性(Confidentiality),完整性(Integrity),可用性(Availablity)
①机密性要求保护的内容不能泄露,加密是实现机密性要求的常见手段
②完整性要求保护的数据是完整的没有被篡改的,数字签名是保证数据完整性的常见手段
③可用性要求保护资源是随手而得,DoS(拒绝服务攻击)破坏的就是可用性
2.安全评估
安全评估分为四个阶段,前后有因果关系
①资产等级划分
②威胁分析
③风险分析
④确认解决方案
3.互联网的核心是由用户数据驱动的,用户产生业务,业务产生数据;互联网安全问题的核心是数据安全的问题。
4.威胁分析----STRIDE模型(由微软提出)
5.风险分析----DREAD模型(由微软提出)
6.影响风险高低的因素,除了造成损失的大小之外,还要考虑发生的可能性
7.安全方案设计原则
①secure by default 原则:这是最基本也是最重要的原则,可以理解为黑白名单的思想;如果更多的额使用白名单,会变得更安全。
②最小权限原则:这是secure by default的另一层含义,也是安全设计的基本原则之一。最小权限原则要求只赋予主体必要的权限,不要过度授权,这样能有效
的减少系统,网络,应用,数据库出错的机会。
③纵深防御原则:
Defense in Depth(纵深防御)也是安全设计重要的指导思想
④不可预测性原则
不可预测性能有效对抗基于篡改,伪造的攻击
web安全常识
原文地址:https://www.cnblogs.com/itechstudy/p/9427624.html