1、黑名单 白名单原则
列表进行过滤要有效得多。另外,在白名单中应小心* 等通配符的使用。
2、最小权限原则
3、纵深防御原则
A:在不同层面,不同方面实施安全方案。
4、数据与代码的分离
以sql 为例,产生的原因正是因为无法判断用户的输入和该执行的sql语句而直接造成的损失。
如 select fieldlist from table where field =' <input> ';
当输入为:
select fieldlist from table where field =' 'anything' or 'x'='x' '; 这时候整个数据表的数据都将被返回。
5、不可预测性原则
的成功的防御。
比如:让程序的栈基址变得随机化,使***程序无法准确猜测到内存地址,而大大的提高***的门槛。再比如在一些应用系统中,使用随机的id。那么如果***者再
想使用类似于
for(int i=0;i<1000;i++){
delete(url="xxx?id="+i);
}
这种方法的***将无效,起码是先爬取id的值,再进行delet操作。同样的,现在利用token,利用加密算法,随机算法,哈希算法等,其实都可以找到这条原则的影子。
亿速云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
计算
安全
数据库
网络和加速
企业服务
