软件应用程序安全开发指南(SDLC)(15)

2023-06-18 来源:飞速影视
· 添加超时;
· 确保你使用的是安全相关的功能;
· 使用强大的认证;
· 不进行默认身份验证。
3.4.8.不安全的加密存储
保护敏感数据已经成为网络应用的最重要的组成部分,加密的敏感数据
已是非常常见安全保护手段。不加密的应用程序、设计不当或者使用不恰当的密码技术等可能导致披露敏感数据。
· 攻击者能够取得或是篡改机密的或是私有的信息;
· 攻击者通过机密秘密的窃取从而进行进一步的攻击;
· 造成企业形象破损,用户满意度下降,甚至面临法律诉讼等。编程要求:
· 验证你的结构;
· 识别所有的敏感数据;
· 识别敏感数据存放的所有位置;
· 确保所应用的威胁模型能够应付这些攻击;
· 使用加密手段来应对威胁;
· 使用一定的机制来进行保护
· 文件加密;
· 数据库加密;
· 数据元素加密;
· 正确的使用这些机制;
· 使用标准的强算法;
· 合理的生成,分发和保护密钥;
· 准备密钥的变更;
· 验证实现方法;
· 确保所有的证书、密钥和密码都得到了安全的存放;
· 有一个安全的密钥分发和应急处理的方案。
3.4.9.不安全的通信
对于不加密的应用程序的网络信息传输,需要保护敏感的通信。加密(通
常SSL)必须用于所有身份验证的连接,特别是通过Internet访问的网页,
以及后端的连接。否则,应用程序将暴露身份验证或会话令牌。
· 攻击者能够取得或是篡改机密的或是私有的信息;
· 攻击者通过这些秘密的窃取从而进行进一步的攻击;
· 造成企业形象破损,用户满意度下降,甚至面临法律诉讼等。
编程要求:
· 提供合理的保护机制;
· 对于敏感数据的传输,对所有连接都要使用TLS;
· 在传输前对单个数据都要进行加密;(如XML-Encryption);
· 在传输前对信息进行签名;(如XML-Signature);
· 正确的使用这些机制;
· 使用标准的强算法;
· 合理管理密钥和证书;
· 在使用前验证SSL证书。
3.4.10.限制URL访问失效
相关影视
合作伙伴
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)

www.fs94.org-飞速影视 粤ICP备74369512号