Web安全應用之八項法則

　　如今，Web的應用日益廣泛，隨著用戶對Web應用的熱衷，Web應用程序的安全性也成為用戶關注的焦點。以下就是Web安全應用需要遵循的八項法則。

　　1、認證和口令管理：這主要是一種一次性的活動而且僅僅是作為項目的一部分而完成的。有人可能會問一些與認證和口令管理有關的問題：

　　◆口令策略：這個問題非常重要的原因在于避免與用戶憑據有關的字典攻擊。

　　◆口令哈希算法：確保通過適當的加密算法來加密口令也非常重要。

　　◆口令重置機制：為了避免黑客修改或截獲口令，重置機制非常關鍵。

　　2、認證和角色管理：在分析項目的安全問題時，要確認所有的關鍵功能，并確認哪些人可以獲得授權訪問這些功能。這樣做有助于確認各種不同的角色，并可以使訪問控制到位。

　　3、審計日志記錄。詢問并確認所有與已經發生的攻擊有關的所有關鍵業務是很重要的，這是因為這些攻擊對企業的會產生重大影響。企業應當能夠分析與這些業務有關的審計日志記錄。

　　4、第三方組件分析。詢問并分析一下企業是否必須使用第三方的組件也是一個重要問題。在此基礎上，企業分析與這些組件有關的已知漏洞，并做出恰當的建議。

　　5、輸入數據驗證和凈化。詢問并理解和分析輸入數據的屬性，并為數據的驗證和凈化做好計劃是很重要的。這種操作主要與解決跨站腳本攻擊這類漏洞有關。數據驗證和凈化還有助于避免SQL注入的大規模發生。

　　6、加密和密鑰管理。這是為了分析是否存在需要保證其安全的業務，并且這些業務是否需要握手機制(在處理業務之前，可使用多種與公鑰或私鑰的交換有關的多種技術來實施這種機制)。

　　7、源代碼的完整性：這是一種一次性的活動，并且要求在項目的開始階段完成。這樣做有助于如下兩個方面：

　　源代碼應當存放在一個有良好安全保障的控制倉庫中，并且在遵循“最少特權”的原則前提下，有強健的認證和基于角色的訪問控制。你還應當關注關于源代碼庫和相關工具的問題。

　　此外，在代碼的開發及傳輸過程中，你還可以分析關于源代碼容器的工具問題以及代碼的保護問題。

　　8、源代碼的管理。討論源代碼的審查策略是一個關鍵問題，因為這種做法會要求自動化的和人工的代碼檢查問題，并且在一定程度上會影響總體的項目時間(要求進行代碼檢查時間和針對檢查意見的修復時間)。這是一種一次性的活動，因而應當在項目的開始階段完成。