Full Stack Python 系列之 4.14 Web 应用安全

| 分类 Full Stack Python  | 标签 Full Stack Python  翻译  Python 

本系列文章来自 Full Stack Python简体中文翻译项目

翻译网站地址是 fullstackpython.atjiang.com

查看原文请访问 www.fullstackpython.com

第四章 、十四 Web 应用安全

构建 Web 应用的每个阶段都必须要考虑网络安全问题。但是,本节包含的主题内容,如跨站脚本 (XSS), SQL 注入, 跨站请求伪造 (CSRF) 和公钥/私钥对的使用等,都值得我们特别关注。

网络安全开源项目

  • Bro 是一个网络安全及流量监测器。

  • 快速 NIX 安全脚本 能用于提升 Linux 发行版的安全性。

  • lynis 是一个非常好的安全审计工具,它能以 shell 脚本的形式在 Linux 系统上运行,以便找出系统漏洞加以修复,从而避免被恶意份子利用。

HTTPS 资源

通用网络安全资源

Web 安全学习清单

  1. 阅读和了解那些经常会被恶意份子加以利用的主要 Web 应用安全漏洞。包括跨站请求伪造 (CSRF)、跨站脚本 (XSS)、SQL注入和会话劫持等。OWASP 前 10 位 Web 应用漏洞列表 是了解这些主题概念信息的好地方。

  2. 检查你所选的框架是如何妥善处理这些漏洞的。

  3. 确保你的代码也使用了框架提供的漏洞处置技术。

  4. 以攻击者的角度进行思考,并主动攻击自己的系统。如果你没有经验来攻破安全防线,可以考虑雇用一位认识的白帽黑客。一旦攻破了应用的安全防线,应报告应用中最易被利用的漏洞,并帮助实现针对这些漏洞的保护措施。

  5. 认识到没有系统是完全安全的。但是,应用系统越流行,就越可能会成为攻击目标。应经常对你的 Web 应用的安生性进行重新评估。


上一篇     下一篇