部落格裡的**太難用了...直接上圖:
下面這張圖可以幫忙加深上面**的理解:
1. 最小授權
只授予每個使用者/程式在執行操作時所必須的最小特權。這樣可以限制事故、錯誤、攻擊帶來的危害,減小特權程式之間潛在的相互影響。
2. 發生故障優先保證安全:
當系統發生故障時,對任何請求預設應加以拒絕。
3. 深入防禦原則:
採用多層安全機制,這個概念範圍比較大。比如在表單中的字段校驗不光要在頁面校驗,還要在後台有相應的校驗機制;比如在信任區、飛信任區之間二次部署防火牆。
4. 許可權分離:
比如禁止root使用者遠端登入、多重身份校驗登陸等;
5. 系統架構設計和**盡可能簡潔,越複雜的系統,bug越多...
6. 共享事務的數量和使用盡可能少,畢竟單獨控制乙個操作比並行控制兩個過程更容易一些;
7. 安全保護機制不能依賴於攻擊者對系統實現過程的無知、而只依賴於像口令/金鑰這樣較容易改變的東西。
8. 不信任原則:
要嚴格限制使用者、外部部件的信任度,要假設他們都是不安全的。
9. 對受保護的物件的每乙個訪問都要經過檢查。
10. 心理接受程度:
不能通過限制、甚至組織使用者訪問系統資源來阻止攻擊,但可以考慮引入少量可接受的使用障礙。
11. 不要等開發人員編碼完成才開始進行安全測試,可以負責任的將,65%以上的安全漏洞都是發生在架構設計階段,因此要積極參與到架構設計評審活動中,將一些低中級別的隱患扼殺在搖籃中。
軟體安全性測試設計的基本原則
2015年3月2日 部落格裡的 太難用了.直接上圖 下面這張圖可以幫忙加深上面 的理解 1.最小授權 只授予每個使用者 程式在執行操作時所必須的最小特權。這樣可以限制事故 錯誤 攻擊帶來的危害,減小特權程式之間潛在的相互影響。2.發生故障優先保證安全 當系統發生故障時,對任何請求預設應加以拒絕。3....
軟體測試的基本原則
在軟體測試過程中,應注意和遵循的具體原則,具體可以概括為以下幾項,接下來我們就來了解一下。1.所有測試標準都是建立在使用者需求之上。軟體測試的目標就是驗證產品的一致性和確認產品是否滿足客戶的需求,所以測試人員要始終站在使用者的角度去看問題 去判斷軟體缺陷的影響,系統中嚴重的錯誤是那些導致程式無法滿足...
軟體測試的幾個基本原則
我一直認為軟體測試是一件很有原則的工作,這個原則是最重要的,方法都應該在原則指導下進行。軟體測試的基本原則是站在使用者 的角度,對產品進行全面測試,盡早 盡可能多地發現 bug,並負責跟蹤和分析產品中的問 題,對不足之處提出質疑和改進意見。軟體零缺陷 zero bug 是一種理念,足夠好 good ...