常见Web安全问题及应对策略
1. 确保功能级访问控制
功能级访问控制旨在防止匿名或未经授权的用户调用特定功能。根据相关标准,缺乏此类控制是Web应用程序中第七大关键安全问题。以下是提升应用程序功能级访问控制的建议:
-步骤一:检查工作流权限
- 确保在工作流的每一步都正确检查权限。开发者常常仅在工作流开始时检查授权,就假定后续任务对用户是授权的。攻击者可能利用这一漏洞,尝试调用工作流中间步骤的功能。
-步骤二:默认拒绝访问
- 默认拒绝所有访问,然后在明确验证授权后允许任务执行。如果不确定某些用户是否被允许执行某个功能,那么默认他们没有权限。将权限表转换为授权表,如果没有对某个用户在某个功能上的明确授权,则拒绝任何访问。
-步骤三:灵活存储用户信息
- 用户、角色和授权信息应存储在灵活的介质中,如数据库或配置文件,避免硬编码。硬编码的用户角色和权限难以维护、更改或更新。
-步骤四:避免“模糊安全”策略
- “模糊安全”不是一个好的安全策略,不能依赖隐藏信息来保证安全。
2. 防止跨站请求伪造(CSRF)
当Web应用程序不使用每会话或每操作的令牌,或者令牌实现不正确时,可能容易受到跨站请求伪造攻击,攻击者可能迫使已认证用户执行不必要的操作。CSRF是当前Web应用程序中第八大关键漏洞。以下是防止CSRF的方法:
-步骤一:实现唯一操作令牌
- 实现唯一的、每操作的令牌。每次用户尝试并执行操作
