标记:安全
Web应用程序安全基础
现代web开发面临着许多挑战,而这些挑战中,安全性是非常重要的,但往往没有得到足够的重视。虽然像威胁分析这样的技术越来越被认为是任何严肃开发的必要条件,但也有一些基本的实践,每个开发人员都可以并且应该理所当然地去做。
面向开发者的威胁建模指南
本文提供了清晰而简单的步骤来帮助想要采用威胁建模的团队。威胁建模是一种基于风险的安全系统设计方法。它以确定威胁为基础,以便制定减轻威胁的措施。随着网络安全风险的增加和企业越来越意识到自己的责任,软件开发团队需要有效的方法来构建软件的安全性。188比分直播完整手机版不幸的是,它们常常难以采用威胁模型。许多方法需要复杂、详尽的前期分析,这与现代软件团队的工作方式不匹配。因此,我鼓励团队从简单开始,从简单开始发展,而不是停止一切去创建完美的威胁模型。
一行代码损害了服务器
会话机密是用于加密cookie的密钥。应用程序开发人员经常在开发过程中将其设置为弱键,而在生产过程中不会对其进行修正。本文解释了如何破解这样的弱密钥,以及如何使用已破解的密钥获得对承载应用程序的服务器的控制。我们可以通过使用强密钥和仔细的密钥管理来防止这种情况。库的作者应该在工具和文档中鼓励这样做。