的需求分析和解决方案设计.ppt

的需求分析和解决方案设计
第1章商务解决方案设计
第2章收集和分析信息
第3章解决方案的构思
第4章概念设计的创建
第5章逻辑设计的创建
第6章物理设计的创建
第7章表示层的设计
第8章数据层的设计
第9章设计安全规范
第10章完成计划阶段
第11章稳定和部署方案
第9章设计安全规范
应用程序开发的安全性概述
为应用程序安全性制定计划
框架中的安全性
设计授权、验证和审核策略
应用程序开发的安全性概述
常见的安全漏洞类型
传统安全模型的不足
创建安全策略的原则
主要安全性术语
应用程序开发的安全性概述
常见的安全漏洞类型
弱密码
举例
员工使用空密码或者自己的生日作为密码
影响
攻击者能通过不断尝试取得密码
常见的安全漏洞类型
常见的安全漏洞类型
未配置正确的软件
举例
网络
如防火墙
应用程序
如应用程序配置文件
主机
如某些服务有过高的权限(超过正常运行所需的权限)、一些以系统账户启动的服务
影响
攻击者能利用这些服务取得访问系统的权限
常见的安全漏洞类型
常见的安全漏洞类型
社会工程陷阱
举例
攻击者装作技术支持人员骗取用户密码
影响
攻击者能利用骗来的密码或管理员账户进行破坏
常见的安全漏洞类型
常见的安全漏洞类型
未加密的数据传输
举例
验证包以明文方式传送
重要数据通过互联网明文传播
影响
攻击者能方便的获取数据对企业或者应用程序进行攻击
常见的安全漏洞类型
常见的安全漏洞类型
缓存溢出
举例
受信任的进程运行未受信任的代码
影响
攻击者能让操作系统或应用程序崩溃
通过出错信息发现更多的安全漏洞
获取能运行任何程序的系统内存
常见的安全漏洞类型
常见的安全漏洞类型
代码注入
举例
跨站点脚本
SQL注入
利用缓存溢出注入恶意代码
影响
攻击者能在客户端、Web服务器、数据库服务器上注入恶意代码
常见的安全漏洞类型
常见的安全漏洞类型
代码中的秘密信息
举例
从代码中直接获取秘密信息
在调试方式下运行不同的安全应用程序
在客户端页面文件中获取秘密信息
影响
密码、密钥泄漏
常见的安全漏洞类型