好久没更博了到处混吃混喝 (。^▽^) 嘿嘿。
复习了访问控制和密码学,虽然忘了一些但看书看一会儿就想起来了。
然后看了web框架安全。主要讲了mvc框架(模型m,视图v,控制器c)的安全。简单来说就是"在正确的地方做正确的事" 。
举几个例子:
1.在对页面进行渲染的view层可以选择框架提供的编码方法但如果全部使用同一种编码方法很可能被攻击者绕过。所以可以根据是否有细分场景的不同编码方式来判断安全方案是否完整。
2.在对抗csrf时,web框架可使用token(随机数)解决问题。http post请求主要用来处理写操作(增删改),而post不足以对抗csrf。
3.http返回头为了防止crlf注入攻击可以设置限制目的地址。
4.使用orm框架针对sql注入攻击。
5.一些框架自身的bug