專案-安全架構

    網站安全至關重要,專案越大越應該注重安全問題,以下通過六個方面進行專案安全性方面的控制.

一：許可權控制

     1）將使用者分許可權,不同許可權的使用者具有不同的功能,不可以進行跨許可權進行非正常操作。

     2）將不可被直接訪問的頁面隱藏,使其只能通過頁面內部跳轉進行訪問。

     3）實現：對於1)可以使用安全性框架進行許可權管理,例如：shiro、spring security等。

                     對於2)可以將需要隱藏的頁面放在eclipse中的WEB-INF下等。

二：資訊加密以及密匙管理

     1）使用者的一些敏感資訊,比如使用者的登陸密碼等,在資料庫中不可以用明文儲存,需要進行加密儲存。這樣即使玩意被黑客入侵,得到的資料也是加密後的資料,不會造成大的損失。

     2）資訊的加密和解密與密匙密不可分,那麼密匙的安全管理也極為重要。資訊的安全是靠密匙保證的。

     3）實現：對於1)的實現,可以使用單向雜湊加密、對稱加密、非對稱加密其中一個演算法進行加密後儲存在資料庫中。

                     對於2)的實現,在1)中使用的加密演算法,都需要依靠安全的密匙才可以進行安全的加密。一種方案是把密匙和演算法放在一個獨立的伺服器上,甚至做成一個專門的硬體設施,但是成本較高,系統開銷也大.另一種方案是將加解密演算法放在應用系統中,密匙則放在獨立伺服器中,為了提高安全性,可以將密匙分片儲存。

三：設定登入和伺服器訪問日誌

     1)設定日誌，記錄來訪者的 IP ，傳遞引數，對後臺操作使用者建立日誌，記錄其操作內容。完善的日誌記錄可以幫助你發現潛在的危險，找到已經發生的問題。

四：具體安全問題防護 

    1）sql注入,XSS攻擊,CSRF攻擊,檔案上傳漏洞,弱口令漏洞,自定義丟擲異常資訊,後退鍵快取資訊洩漏,註釋漏洞等。

    2）實現：架構中安全性系列筆記

五：設定web應用防火牆

    1）使用一款能夠統一攔截請求,過濾惡意引數,自動消毒(轉換惡意字元),自動新增token,並且能根據最新攻擊和漏洞自動升級,處理掉大部分的網路攻擊的產品 ——ModSecurity

    2）NodSecurity,一款開源的Web應用防火牆。 可在專案中使用。

六：網站安全漏洞測試

    1）當我們將專案的安全性設定完畢後,要進行安全測試。

    2）網站安全漏洞掃描：使用掃描工具,對網站模擬各種黑客攻擊手段,檢測網站安全性。市場上有許多安全掃描平臺。

    3）已知安全漏洞測試