O projeto de segurança do ciclo de vida do sistema é dividido em: projeto de requisitos de segurança, desenvolvimento de segurança do sistema, teste de segurança, segurança online do sistema, operação e manutenção de segurança e outras dimensões, este artigo apresenta em detalhes
1. Projeto de requisitos de segurança
Requisitos de segurança: medidas de proteção (força do código de verificação, complexidade da senha, segurança da comunicação...), proteção de dados (classificação de informações confidenciais, proteção de classificação de dados), revisão
2. Desenvolvimento de segurança do sistema
2.1. Desenvolvimento e design
Métodos de tratamento para vulnerabilidades comuns de alto risco:
Injeção de SQL
XSS ataque cross-site (incluindo digitação cega)
ataque de senha fraca
download de arquivo arbitrário
importação de dados
upload de arquivo
lógica vulnerabilidade
desenvolvimento design
execução de comandoatravessar
Segurança de interação do nó
Interconexão interna
Interconexão externa
Editor de três partes
Fckediter
ewebediter
Tratamento de dados de erro
análise
2.2 Codificação
Verifique cenários de aplicativos de função específicos
JAVA: 1. Injeção de SQL para verificar se há um filtro correspondente antes que a variável seja passada 2. Scripts XSS para verificar se a variável está codificada quando é entrada e saída 3. Outras questões para verificar o PHP: 1. Injeção de SQL
para verifique se há um filtro correspondente antes que a variável seja passada em 2 .XSS scripts precisam verificar se as variáveis são codificadas quando são inseridas e geradas 3. Verificação de outros problemas
Introduzir OWASP ESAPI para resolver problemas de segurança OWASP TOP10
análise
3. Teste de segurança