xiaoyuwei
- 浏览: 105549 次
- 性别:
- 来自: 死亡坟墓
-
文章分类
规则3.4.4:对于运行应用程序的操作系统帐号,不应使用“root”、“administrator”、“supervisor”等特权帐号或高级别权限帐号,应该尽可能地使用低级别权限的操作系统帐号。
规则3.4.5:对于应用程序连接数据库服务器的数据库帐号,在满足业务需求的前提下,必须使用最低级别权限的数据库帐号。
说明:根据业务系统要求,创建相应的数据库帐号,并授予必需的数据库权限。不能使用“sa”、“sysman”等管理帐号或高级别权限帐号。
2.5 敏感数据保护
2.5.1 敏感数据定义
敏感数据包括但不限于:口令、密钥、证书、会话标识、License、隐私数据(如短消息的内容)、授权凭据、个人数据(如姓名、住址、电话等)等,在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。
2.5.2 敏感数据存储
规则3.5.2.3:禁止在 cookie 中以明文形式存储敏感数据。
说明:cookie信息容易被窃取,尽量不要在cookie中存储敏感数据;如果条件限制必须使用cookie存储敏感信息时,必须先对敏感信息加密再存储到cookie。
规则3.5.2.4:禁止在隐藏域中存放明文形式的敏感数据。
规则3.5.2.5:禁止用自己开发的加密算法,必须使用公开、安全的标准加密算法。
实施指导:
场景 1:后台服务端保存数据库的登录口令
// 算法:AES256。常见问题是加密的环境和解密的环境JDK不一致,导致解密失败,请参考FAQ部分的案例说明。比如在windows下加密(SUN JDK),在AIX机器上运行解密(IBM JDK),就会有问题,算法实现还是有差异的。
分享到:
发表评论
-
xslt模板2
2011-09-28 10:34 0<!-- 再处理$nodes2--> ... -
xslt模板1
2011-09-28 10:34 0<?xml version="1.0" ... -
xml合并
2011-09-28 10:29 991利用xslt模板进行合并 /* * 合并xml文件 ... -
oracle备份脚本4
2011-09-22 20:12 0# 备份控制文件 backupControl() { ... -
oracle备份脚本3
2011-09-22 20:11 0# 改变备份文件权限,保证可以读写 c ... -
oracle备份脚本2
2011-09-22 20:11 0cd $BACKUPDIR BACKUPDIR= ... -
oracle备份脚本
2011-09-22 20:10 0#! /bin/bash # 本脚本实现数据的0级备份,即全 ... -
Java获取mac地址
2011-09-06 09:46 821public static Map getLocalM ... -
web安全10
2011-08-26 18:28 8083.6 其他 规则4.7.4:使用.innerHt ... -
web安全9
2011-08-26 18:28 9073.4 代码注释 3.5 归档要求 规 ... -
web安全8
2011-08-26 18:27 687规则3.6.4:对日志模块占用资源必须有相应的限制机制。 说 ... -
web安全7
2011-08-26 18:26 875规则3.5.3.2:在客户端和服务器间传递敏感数据时,必须使用 ... -
web安全6
2011-08-26 18:25 788场景 2:后台服务端保存用户的登录口令 // SHA512, ... -
web安全4
2011-08-26 18:20 728二、对于系统的操作员和管理员或CP/SP的URL请求进行鉴权相 ... -
web安全3
2011-08-26 18:20 7492.2.2 认证 规则3.2.2.10:对于重要的交易事务 ... -
java 用ant进行zip解压
2011-08-24 11:12 1321利用ant进行zip解压,非常简单 import org.a ... -
shll bat2
2011-08-23 17:30 667# etc 启动 ETC_PATH=/etc/init.d ... -
shell bat
2011-08-23 17:29 889#!/bin/sh SCRIPT="$0" ... -
数据库转储
2011-08-20 10:29 1374项目中有些数据库表的 ... -
Java操作命令行
2011-08-19 14:10 761Java可以操作命令行,嘿嘿,这也就意味着可以通过命令行调用其 ...
相关推荐
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
《Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
5. **Web安全工具**:介绍了一些常用的Web安全测试工具,如Burp Suite、Nessus和OWASP ZAP,以及如何运用这些工具进行安全测试。 《Web前端黑客技术揭秘》则主要聚焦于Web前端的安全问题,包含以下内容: 1. **...
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
《白帽子讲Web安全》是一本深入探讨网络安全领域中Web应用安全的专业书籍,全面覆盖了Web安全的基础理论、常见威胁及防御策略。随着互联网技术的不断发展,Web应用已经成为日常生活和工作中不可或缺的一部分,...
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
Web安全学习大纲 一、Web安全系列之基础 1、Web安全基础概念(1天) 互联网本来是安全的,自从有了研究安全的人之后,互联网就变的不安全了。 2、web面临的主要安全问题(2天) 客户端:移动APP漏洞、浏览器...
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
Web安全学习笔记——Web-Sec Documentation(以下简称Web-Sec Documentation)作为一份全面的Web安全指南,对于广大网络爱好者和专业人士来说,不仅是了解Web安全理论的基石,更是掌握网络安全技术的重要参考资料。...
5. Web应用安全检测的测试评价方法:Web应用安全检测的测试评价方法可以分为两种:量化评价和质性评价。量化评价是指对Web应用程序的安全性进行定量评估,而质性评价是指对Web应用程序的安全性进行定性评估。 6. ...
在这样的背景下,专业书籍《白帽子讲Web安全》应运而生,旨在为读者提供深入的Web安全知识,帮助他们更好地理解和掌握如何保护Web应用程序免受攻击。 全书共分为四个篇章,分别为基础篇、攻击篇、防御篇和实践篇,...
但是根据标题《白帽子讲Web安全》和描述,可以推断出该文档主要是关于Web安全的深入分析和实际解决方案的介绍。 知识点如下: 1. Web安全基础:Web安全是信息安全领域的一个重要分支,涉及到互联网上的数据保护和...
国科大web安全中期CTF 在这篇文章中,我们将探讨国科大web安全中期CTF的相关知识点。 一、Web安全基础知识 在开始之前,让我们先了解一些基本概念。Web安全是指保护Web应用程序免受恶意攻击和未经授权的访问的...
web安全测试规范
《Web安全测试》中的秘诀演示了开发和测试人员在进行单元测试、回归测试或探索性测试的同时,如何去检查最常见的Web安全问题。与即兴的安全评估不同的是,这些秘诀是可重复的、简洁的、系统的——可以完美地集成到你...
加密算法是 WEB 安全的重要组成部分,MD5 是一种常用的加密算法。MD5 的特点是压缩性、容易计算、抗修改性、强抗碰撞。MD5 可以用于提供消息的完整性保护,但是它不可逆解。 DOS 命令 DOS 命令是 WEB 安全中的一个...
根据给出的文件信息,本文件为《白帽子讲Web安全【高清】.pdf》,内容围绕Web安全、白帽子以及安全入门等知识点展开。该书由道哥原作,旨在帮助读者了解和入门Web安全领域。 知识点一:Web安全的重要性 Web安全是...
### Web安全核心知识点解析 #### 一、Web安全概述 - **定义与重要性**:Web安全是指确保Web应用程序及其相关服务免受攻击和威胁的一系列技术和实践。随着互联网技术的发展,Web应用已经成为日常生活和商业活动中不...
Web安全漏洞加固手册 V2.0