Web應用程式安全必須重視八大問題

摘自：

對於任何乙個專案，開始階段對於交付安全的應用來說非常關鍵。適當的安全要求會導致正確的安全設計。下面討論在分析web應用程式的安全要求時需要考慮的八大問題。

1、認證和口令管理：這主要是一種一次性的活動而且僅僅是作為專案的一部分而完成的。有人可能會問一些與認證和口令管理有關的問題：

◆口令策略：這個問題非常重要的原因在於避免與使用者憑據有關的字典攻擊。

◆口令雜湊演算法：確保通過適當的加密演算法來加密口令也非常重要。

◆口令重置機制：為了避免黑客修改或截獲口令，重置機制非常關鍵。

2、認證和角色管理：在分析專案的安全問題時，要確認所有的關鍵功能，並確認哪些人可以獲得授權訪問這些功能。這樣做有助於確認各種不同的角色，並可以使訪問控制到位。

3、審計日誌記錄。詢問並確認所有與已經發生的攻擊有關的所有關鍵業務是很重要的，這是因為這些攻擊對企業的會產生重大影響。企業應當能夠分析與這些業務有關的審計日誌記錄。

4、第三方元件分析。詢問並分析一下企業是否必須使用第三方的元件也是乙個重要問題。在此基礎上，企業分析與這些元件有關的已知漏洞，並做出恰當的建議。

5、輸入資料驗證和淨化。詢問並理解和分析輸入資料的屬性，並為資料的驗證和淨化做好計畫是很重要的。這種操作主要與解決跨站指令碼攻擊這類漏洞有關。資料驗證和淨化還有助於避免sql注入的大規模發生。

6、加密和金鑰管理。這是為了分析是否存在需要保證其安全的業務，並且這些業務是否需要握手機制(在處理業務之前，可使用多種與公鑰或私鑰的交換有關的多種技術來實施這種機制)。

7、源**的完整性：這是一種一次性的活動，並且要求在專案的開始階段完成。這樣做有助於如下兩個方面：

源**應當存放在乙個有良好安全保障的控制倉庫中，並且在遵循「最少特權」的原則前提下，有強健的認證和基於角色的訪問控制。你還應當關注關於源**庫和相關工具的問題。

此外，在**的開發及傳輸過程中，你還可以分析關於源**容器的工具問題以及**的保護問題。

8、源**的管理。討論源**的審查策略是乙個關鍵問題，因為這種做法會要求自動化的和人工的**檢查問題，並且在一定程度上會影響總體的專案時間(要求進行**檢查時間和針對檢查意見的修復時間)。這是一種一次性的活動，因而應當在專案的開始階段完成。