# 开发安全

开发安全

文章目录

  • 开发安全
    • 安全开发生命周期
    • 安全开发目标
    • 安全开发基本准则
    • 注入类攻击手段
      • Sql注入
      • 命令执行
      • 命令执行防御
      • 文件遍历
      • 防御
    • 植入类安全漏洞防御
      • XSS(前端漏洞)
        • 防御
      • 储存型XSS
      • 文件上传
        • 防御
      • CSRF
        • 防御
      • 会话固定
        • 防御
    • 其它类型安全漏洞
      • 越权访问
        • 防御
      • 口令爆破
    • 安全编码规范
      • 输入验证和数据净化
    • 业务安全漏洞
      • 逻辑漏洞
        • 逻辑混淆
        • 流程乱序
        • 数据重放
      • 规避方案
    • 第三方安全
      • 缓解方案
    • 如何安全的开发
      • 安全培训
      • 安全设计
      • 安全编码
      • 代码审查
      • 安全测试
      • 定期更新和补丁
      • 访问控制
      • 加密
      • 事件监控和响应
      • 持续改进
      • 事件监控和响应
      • 持续改进

开发安全是指在软件开发过程中注重安全性,采取措施防止恶意攻击和数据泄露。这包括对代码进行安全审查,使用安全编程实践和工具,以及定期进行安全漏洞扫描和修复。开发安全是确保软件系统在设计和实现阶段考虑到安全性,并且在运行时能够有效地保护系统和数据免受攻击和威胁的过程。

安全开发生命周期

  • 需求分析阶段
  • 设计阶段:考虑安全方面的设计
  • 开发阶段:遵守编码安全规范、自动化测试工具
  • 测试阶段:渗透测试
  • 部署维护阶段:定期更新修复安全漏洞

安全开发目标

  • 保护隐私
  • 防止安全攻击漏洞
  • 确保系统可用
  • 遵守法律
  • 维护品牌荣誉
  • 节省成本资源

安全开发基本准则

  • 安全优先
  • 防御性编程:编写健壮的程序,能处理不良输入和异常输出

注入类攻击手段

Sql注入

  • 改变sql语义
SELECT * FROM users WHERE username = '输入的用户名' AND password = '输入的密码';
# 如果攻击者在用户名字段中输入 ' OR '1'='1 ,那么SQL查询就会变成:
SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '输入的密码';
  • SQL注入:预编译sql

命令执行

  • 通过改变输入执行系统命令。调用cmdping

命令执行防御

  • 参数化传值,避免拼接用户输入

  • 验证、过滤

  • 最小权限原则

文件遍历

  • 遍历到文件目录扫面文件

防御

  • 路径规范化、验证过滤、白名单机制、最小权限规则
  • 获取绝对路径getAbsolutePath()

植入类安全漏洞防御

XSS(前端漏洞)

  • Web页面插入恶意JS、钓鱼实现
防御
  • 过滤验证(白名单)、设置http头部
  • 输出的内容进行编码
  • 使用安全的前端框架

储存型XSS

  • 储存型Xss不会直接将恶意代码响应至前端浏览器进行渲染执行,先存储在数据库等介质中。

  • 为了防止储存型XSS攻击,开发人员应该对用户输入进行适当的过滤和转义,以防止恶意脚本被存储和执行。最好的做法是采用内容安全策略(CSP)来限制页面加载的资源和脚本,以及对用户输入进行严格的验证和过滤。这样可以有效地防止储存型XSS攻击。

文件上传

  • WebShell脚本文件

  • 上传恶意文件,自动执行

  • 直接拿下服务器

防御
  • 不能仅仅使用前端进行校验,需要在后端校验

  • 文件名称校验

  • 文件内容校验

  • 路径隔离,限制文件的执行权限

CSRF

  • 敏感的操作需要考虑CSRF攻击

  • 跨站请求伪造,受害者已经登陆的状态下

  • 常见的盗号、钓鱼页面、钓鱼网站

防御
  • 请求带上token
  • 同源检测

会话固定

  • 向用户传递一个一致的会话标识,引导用户使用该会话标识进行身份认证
防御
  • 随机会话id
  • 会话绑定
  • 安全的会话管理
  • 双重认证

其它类型安全漏洞

越权访问

  • 数据权限问题
防御
  • 校验输入
  • 权限最小化
  • 双重身份认证、强密码多因素
  • 关键操作日志,定期审计和监控

口令爆破

  • 需要使用强密码
  • 密码策略
  • 登录失败限制
  • 多因素身份认证
  • 安全监控

安全编码规范

输入验证和数据净化

  • 净化非受信数据(从外界来的数据),比如使用sql预编译防止sql注入问题
  • 避免目录遍历漏洞
  • 不要记录未净化过的数据,避免产生数据污染
  • 文件或者网络IO两端使用兼容的编码

业务安全漏洞

逻辑漏洞

逻辑混淆
  • 不充分的逻辑设计
  • 复杂的业务逻辑
  • 修改和维护中的逻辑变更:注释、交接
流程乱序
  • 业务流程执行的顺序与预期不符。产生原因有:并发操作
数据重放
  • 缺乏合适的身份认证和授权机制
  • 不安全的通信协议

规避方案

  • 充分的需求和设计,确保程序的逻辑结构清晰,合理,并充分考虑各种肯能的情况和分支
  • 逻辑注释和文档
  • 代码审查和测试

第三方安全

  • 漏洞和脆弱性
  • 依赖管理
  • 恶意注入和后门

缓解方案

  • 审查和评估
  • 定期更新
  • 依赖管理
  • 漏洞披露和响应
  • 安全编码实践

如何安全的开发

安全培训

  • 确保开发团队接受适当的安全培训,了解常见的安全漏洞和攻击方式,以及如何编写安全代码。

安全设计

  • 在软件设计阶段就考虑安全问题,例如通过威胁建模和安全架构评估来识别和减少安全风险。

安全编码

  • 遵循安全编码最佳实践,例如输入验证、输出编码、访问控制、错误处理和加密等。

代码审查

  • 在代码提交前进行代码审查,以识别和修复安全漏洞。可以使用静态代码分析工具来帮助识别漏洞。

安全测试

  • 在开发过程中进行安全测试,包括渗透测试和安全评估,以识别和修复安全漏洞。

定期更新和补丁

  • 定期更新和修补软件和系统,以修复已知的安全漏洞和错误。

访问控制

  • 实施严格的访问控制策略,限制对敏感数据和系统的访问。

加密

  • 使用加密技术保护敏感数据,例如使用 SSL/TLS 加密网络通信,使用加密算法保护存储的数据。

事件监控和响应

  • 实施事件监控和响应计划,以识别和响应安全事件。

持续改进

  • 定期评估和改进安全实践,以适应新的安全威胁和技术趋势。

总之,提高开发安全需要全面的安全实践,包括安全培训、安全设计、安全编码、代码审查、安全测试、定期更新和补丁、访问控制、加密、事件监控和响应、以及持续改进。
加密

  • 使用加密技术保护敏感数据,例如使用 SSL/TLS 加密网络通信,使用加密算法保护存储的数据。

事件监控和响应

  • 实施事件监控和响应计划,以识别和响应安全事件。

持续改进

  • 定期评估和改进安全实践,以适应新的安全威胁和技术趋势。

总之,提高开发安全需要全面的安全实践,包括安全培训、安全设计、安全编码、代码审查、安全测试、定期更新和补丁、访问控制、加密、事件监控和响应、以及持续改进。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/727752.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

基 CanMV 的 C 开发环境搭建(Linux,Ubuntu篇)

不论是使用 CanMV 提供的基于 C 语言和 FreeRTOS 的应用开发方式开发应用程序或是编译 CanMV 固件,都需要搭建基于 CanMV 的 C 开发环境,用于编译 CanMV 源码。 1. 开发环境搭建说明 CanMV 提供了基于 C 语言和 FreeRTOS 的应用开发…

如何调用讯飞星火认知大模型的API以利用其卓越功能

摘要 讯飞星火认知大模型,作为科大讯飞精心打造的一款人工智能模型,在自然语言理解和生成方面展现出了卓越的能力。这款模型通过深度学习技术和大量数据的训练,具备了强大的语言理解、文本生成和对话交互等功能。 一、模型功能概述 讯飞星…

XXL-Job实战(一)

​需求介绍:构建一个分布式短信发送系统,应对双十一活动需向1000万用户快速推送营销短信的挑战,每条数据的业务处理逻辑为0.1s。对于普通任务来说,只有一个线程来处理 可能需要10万秒才能处理完,业务则严重受影响。 常…

【Maven】项目的Maven插件报错

1. 找到本地maven库 2. 删除本地插件 3. 在IDEA上更新pom.xml

从零开始学代码写了一个心理学知识导航站

我从零编码经验开始开发一个网站。最初我只是想把自己收集到的心理学知识和一些资源分享出来,希望能够让更多的用户受益。 然而,在写作时,我意识到,尽管函数和界面是使用 GPT 从头开始​​手工编写的,而且我没有使用所…

【Axure教程】移动端多选图片上传

在移动端应用中,提供多选图片上传功能对于用户体验和功能性具有重要意义,尤其是在像微信、微博等社交媒体平台上。 例如用户可以快速上传多张图片进行分享,发布相册或创建图文并茂的动态;卖家可以一次性上传多个产品图片&#xf…

求职难遇理想offer!!【送源码】

现在的求职行情确实不太好,有很多抱怨自己找到的工作技术栈落后的同学,我也是建议他们接下先干着。不能幻想毕业之后还能找到更合适的工作,那个时候就基本只能参加社招了,没有工作经验参加社招想要获得满意 offer 的更是地狱难度。…

如何在软件开发时代实现技术+业务的双重突破?【含资源】

在当前的软件开发时代,许多企业面临着核心技术缺失、专业人才短缺以及产品能力单一等问题, 迫切需要加强技术实力,补充和扩展原有的业务和行业能力。 将技术与业务需求深度结合,构建适应时代需求的技术业务模式,成为软…

深入了解常用负载均衡软件

在构建高性能、高可用的分布式系统时,负载均衡技术扮演着至关重要的角色。它通过合理分发网络请求到后端服务器集群,从而有效提升系统吞吐量、减少响应延迟、并保障系统的稳定运行。本文将介绍几种常用的负载均衡软件,包括它们的优缺点、应用…

算法体系-23 第二十三节:暴力递归到动态规划(五)

一 求K次打击之后,英雄把怪兽砍死的概率 1.1 描述 给定3个参数,N,M,K 怪兽有N滴血,等着英雄来砍自己 英雄每一次打击,都会让怪兽流失[0~M]的血量 到底流失多少?每一次在[0~M]上等概率的获得一个…

小摩法兴纷纷转多,看涨港股的时机来了吗?

恒生指数今日高开一度上涨89点报18520点,创近两周高。之后持续震荡下行;恒指临近中 午跌幅扩大,恒生科技指数一度跌近1.5%。截止收盘,恒生指数跌0.52%,盘面上,石油、煤炭、环保、建筑节能等板块涨幅居前&a…

Opencv学习项目3——pytesseract

上一次我们使用pytesseract.image_to_data(img)来检测文本,这次我们来只检测数字 项目演示 可以看到,我们只检测了数字其他的并没有检测出来 代码实现 前面两次介绍了opencv的画矩形和设置文本,这次就直接用了,不太明白的可以看…

增加了redis分布式锁,但是还是生成了重复数据

增加了redis分布式锁,但是还是生成了重复数据 原因 两个线程 第一个线程先获取锁,然后进行新增,此时第二个线程也进入方法体,尝试获取锁,结果没获取到,继续在5s内尝试,在redis获取锁等待5s的过…

DevExpress WPF中文教程:Grid - 如何将更改发布到数据库(设计时)?

DevExpress WPF拥有120个控件和库,将帮助您交付满足甚至超出企业需求的高性能业务应用程序。通过DevExpress WPF能创建有着强大互动功能的XAML基础应用程序,这些应用程序专注于当代客户的需求和构建未来新一代支持触摸的解决方案。 无论是Office办公软件…

RapidLayout:中英文版面分析推理库

引言 继上一篇文章之后,我这里想着将360发布的版面分析模型整合到现有的rapid_layout仓库中,便于大家快速使用。 不曾想到,我这整理工作越做越多了,好在整体都是往更好方向走。 起初,rapid_layout项目是在RapidStru…

ES中下载ik解决版本不一致问题

1.链接: https://github.com/infinilabs/analysis-ik/releases/tag/v7.17.7 2.我的ES版本是7.17.9 但是Ik没有7.19,只有7.17 3.下载之后创建ik,然后把下载的导入进去: 4.因为版本不一致 我们修改 把所有的7.17.7改为7.17.9然…

Spring AI 整合openAI的chatGpt

Spring AI支持ChatGPT,这是OpenAI的AI语言模型。ChatGPT在激发人们对人工智能驱动文本生成的兴趣方面发挥了重要作用。 SpringAi与Spring Boot 的整合详见上一篇文章: Spring AI 介绍以及与 Spring Boot 项目整合 下面分四个部分来分别说明和演示&#…

Day01 数据结构概述

目录 一、数据结构概述 1、基本概念 2、数据结构 3、逻辑关系(线性结构&非线性结构) 4、物理结构(存储结构) 5、算法 6、算法特征 二、时空复杂度 1、时间复杂度 2、空间复杂度 3、结构类型 一、数据结构概述 1、…

体育时间:“中国第一”的出海代表们,一致瞄准了这一赛道?

2024年无疑又是一个体育赛事超级大年。 从1月的亚洲杯,2月的世乒团体锦标赛、第14届冬运会、到6月欧洲杯与美洲杯隔空对决,巴黎奥运会也将在7月盛大开赛,随后则还有8月的巴黎残奥会,对于期待万分的体育粉丝们,这将是极…

后端不提供文件流接口,前台js使用a标签实现当前表格数据(数组非blob数据)下载成Excel

前言:开发过程中遇到的一些业务场景,如果第三方不让使用,后端不提供接口,就只能拿到table数据(Array),实现excel文件下载。 废话不多说,直接上代码,方法后续自行封装即可: functio…