(安全防护、漏洞验证工具)
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。因此,由OWASP提供和开发的所有设施和文件都不受商业因素的影响。OWASP支持商业安全技术的合理使用,它有一个论坛,在论坛里信息技术专业人员可以发表和传授专业知识和技能。
运作原则
· 自由与开放
· 通过共识进程和运营要求进行管理
· 遵守道德准则
· 非营利性目的
· 非商业利益所驱动
· 基于风险的方法
1.两层物理隔离 外网——内网,业务层——数据层
2.安装必要的杀毒软件
3.启用IP白名单,仅允许白名单的IP主机访问
4.使用Https进行通信,使用tls加密,而不是直接使用http
5.登录授权,生成唯一的session id /token进行后续操作、接口访问
6.敏感数据进行加密或编码
7.系统软件启用License授权,随时检测授权是否过期,而不是开启软件才检测
8.系统软件进行代码保护,启用加密或加壳防止软件被反编译
——单片机里面的烧录的程序,推荐启用加密,或者启用读保护,防止程序被不法人员使用
9.KMS(Key management system)
引入密钥管理系统 纯软件的密钥管理系统/软硬件结合的密钥管理系统
10.End to end security communication
采用端对端加密通信,中间所有节点只负责透传,不保存任何通信信息
11.启用对称加密/非对称加密进行通信
原文链接:https://blog.csdn.net/u012842630/article/details/89857386
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18370
