《黑客攻防技术宝典Web实战篇》读书笔记(二)

第二章 核心防御机制

2.1 处理用户访问

2.1.1 身份验证

方式:用户名密码,客户端证书,多阶段登陆,挑战-应答令牌

  • 首先说明身份

2.1.2 会话管理

会话令牌

  • 然后拿到身份令牌

2.1.3 访问控制

  • 最后根据令牌和身份进行访问控制

2.2 处理用户的输入

2.2.1 输入的多样性

2.2.2 输入处理方法

1. 拒绝已知的不良输入(黑名单)
2. 接受已知的正常输入(白名单)
3. 净化(转义)
4. 安全数据处理
5. 语法检查

2.2.3 边界确认

2.2.4 多步确认与规范化

2.3 处理攻击者

2.3.1 处理错误

2.3.2 维护审计日志

2.3.3 想管理员发出警报

2.3.4 应对攻击

2.4 管理应用程序

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容