OWASP
(安全防護、漏洞驗證工具)
開放式Web應用程式安全項目(OWASP,Open Web Application Security Project)是一個組織,它提供有關計算機和網際網路應用程式的公正、實際、有成本效益的資訊。其目的是協助個人、企業和機構來發現和使用可信賴軟體。
開放式Web應用程式安全項目(OWASP)是一個非營利組織,不附屬于任何企業或财團。是以,由OWASP提供和開發的所有設施和檔案都不受商業因素的影響。OWASP支援商業安全技術的合理使用,它有一個論壇,在論壇裡資訊技術專業人員可以發表和傳授專業知識和技能。
運作原則
· 自由與開放
· 通過共識程序和營運要求進行管理
· 遵守道德準則
· 非營利性目的
· 非商業利益所驅動
· 基于風險的方法
web服務一些主要的安全防護措施:
1.兩層實體隔離 外網——内網,業務層——資料層
2.安裝必要的防毒軟體
3.啟用IP白名單,僅允許白名單的IP主機通路
4.使用Https進行通信,使用tls加密,而不是直接使用http
5.登入授權,生成唯一的session id /token進行後續操作、接口通路
6.敏感資料進行加密或編碼
7.系統軟體啟用License授權,随時檢測授權是否過期,而不是開啟軟體才檢測
8.系統軟體進行代碼保護,啟用加密或加殼防止軟體被反編譯
——單片機裡面的燒錄的程式,推薦啟用加密,或者啟用讀保護,防止程式被不法人員使用
9.KMS(Key management system)
引入密鑰管理系統 純軟體的密鑰管理系統/軟硬體結合的密鑰管理系統
10.End to end security communication
采用端對端加密通信,中間所有節點隻負責透傳,不儲存任何通信資訊
11.啟用對稱加密/非對稱加密進行通信