16、常见Web安全问题及应对策略

常见Web安全问题及应对策略

1. 确保功能级访问控制

功能级访问控制旨在防止匿名或未经授权的用户调用特定功能。根据相关标准，缺乏此类控制是Web应用程序中第七大关键安全问题。以下是提升应用程序功能级访问控制的建议：
-步骤一：检查工作流权限
- 确保在工作流的每一步都正确检查权限。开发者常常仅在工作流开始时检查授权，就假定后续任务对用户是授权的。攻击者可能利用这一漏洞，尝试调用工作流中间步骤的功能。
-步骤二：默认拒绝访问
- 默认拒绝所有访问，然后在明确验证授权后允许任务执行。如果不确定某些用户是否被允许执行某个功能，那么默认他们没有权限。将权限表转换为授权表，如果没有对某个用户在某个功能上的明确授权，则拒绝任何访问。
-步骤三：灵活存储用户信息
- 用户、角色和授权信息应存储在灵活的介质中，如数据库或配置文件，避免硬编码。硬编码的用户角色和权限难以维护、更改或更新。
-步骤四：避免“模糊安全”策略
- “模糊安全”不是一个好的安全策略，不能依赖隐藏信息来保证安全。

2. 防止跨站请求伪造（CSRF）

当Web应用程序不使用每会话或每操作的令牌，或者令牌实现不正确时，可能容易受到跨站请求伪造攻击，攻击者可能迫使已认证用户执行不必要的操作。CSRF是当前Web应用程序中第八大关键漏洞。以下是防止CSRF的方法：
-步骤一：实现唯一操作令牌
- 实现唯一的、每操作的令牌。每次用户尝试并执行操作