Web应用程序的威胁与对策

Web应用程序的威胁与对策

更新日期： 2004年04月12日

本页内容

本模块内容

目标

适用范围

如何使用本模块

准备工作

对攻击的剖析

了解威胁类别

网络威胁和对策

主机威胁和对策

应用程序威胁和对策

输入验证

身份验证

授权

配置

敏感数据

会话管理

加密

参数操纵

异常管理

审核和记录

小结

其他资源

本模块内容

本模块从威胁、对策、漏洞和攻击的角度分析了 Web 应用程序的安全。如果您在应用程序设计、实现和部署过程中考虑安全功能，将有助于更好地理解攻击者的思想。通过从攻击者的角度思考问题并了解他们可能采取的策略，您在应用对策时将会更加有效。本模块介绍了典型的攻击者方法，并简要描述了对典型攻击的剖析。

本模块以展示攻击者用来危及 Web 应用程序安全的常见方法开始，并建议使用 STRIDE 方法将这些威胁分类。然后介绍了可能危及您的网络、主机基础结构和应用程序安全的最大威胁。有关这些威胁的知识和相应的对策为威胁建模过程提供了必要信息。 本模块使您可以识别对您的特定方案而言存在的威胁，并可以根据它们给您的系统造成的危险程度对其区分优先次序。

返回页首