开发安全铁三角
为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(十二)
安全组件
组件方案介绍
组件对外提供远程接口服务和工具方法,远程接口服务与项目在内网通信,由使用者从组件管理系统申请访问令牌,可根据项目自行调整相关配置和黑白名单参数。
接口服务有:
远程参数检测接口,可支持检测项:SQL注入攻击、XSS攻击、文件上传/下载参数、扫描器识别;
远程访问频率控制接口,可支持:短信炸弹防御;
远程token生成/校验接口:token生成和校验,用于防重放攻击等;
其他工具方法组件以源码或jar包形式提供安全开发API,组件包括:密码找回组件,分步提交组件,Cookie安全工具,转义组件,数据脱敏组件,随机数生成器,业务安全日志组件。
组件结构设计
对外统一调用接口:统一实例化对象的调用接口
安全组件模块:防范相关的业务攻击
配置文件处理类:初始化组件默认配置项
底层日志处理:与业务攻击统一监控系统交互,并发送使用日志和攻击日志。
单组件结构设计
1.2.1单组件结构设计图
1.2.2单组件包结构
优先级
综合考虑行内现有防范措施,依据17个组件的重要性、 紧急性、易实现性,对其进行评分。根据综合评分,排序如下:
安全框架
拓展阅读●●
原文始发于微信公众号(国舜股份):专栏特辑 | 开发安全铁三角纵横谈(十三)安全组件与安全框架
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论