安全应该是系统开发之初就考虑的问题。换句话说,安全是一个成熟系统的必备特性。在项目说明中不谈安全,并非因为不需要,而是因为安全都是隐藏的。
安全性设计中的关键问题是挖掘出系统存在的安全漏洞。在这我们可以采用黑盒测试或者安全检测工具来进行。在开发过程中,遵守一些web安全原则,是提高安全很好的措施:
一、Web部署原则1、如果Web应用对Internet开放,Web服务器应当置于DMZ区,在Web服务器与Internet之间,Web服务器与内网之间应当有防火墙隔离,并设置合理的策略。
2、如果Web应用对Internet开放,Web服务器应该部署在其专用的服务器上,应避免将数据库服务器或其他核心应用与Web服务器部署在同一台主机上(Web服务器比较容易被攻击,如果数据库或核心应用与Web服务器部署在同一台主机,一旦Web服务器被攻陷,那么数据库和核心应用也就被攻击者掌控了)。
3、Web站点的根目录必须安装在非系统卷中,(Web站点根目录安装在非系统卷,如单独创建一个目录/home/Web作为Web站点根目录,能够防止攻击者使用目录遍历攻击访问系统工具和可执行文件)。
4、部署时应使用最低的系统权限:应保证应用程序工作在低于普通权限的条件下,在运行Web程序时使用高等权限是种错误的做法。Web程序是攻击者目标,成功之后,攻击者获得了相应的系统权限。故不应使用Administrator或者System权限。若应用程序需要高权限运行,可以将其分离出去并运行在限定了通信信道的进程中,然后提高权限。
5、Web服务器与应用服务器需物理分离(即安装在不同的主机上)&#x