Windows Server安全性规则8:强化您的应用程序

2020年12月31日19:43:44 发表评论 121 次浏览
ms_logo_grey
ms_logo_grey
你可以从这份文件中得到什么:

本文档介绍了一些基本的安全最佳实践, 如果与其他最佳安全措施结合使用, 则可以提高系统的整体安全性。

有什么威胁?

通过社交网络和使用Web作为开展业务的手段, 越来越多的信息共享为黑客创造了新的机会。如今, 网站经常受到直接攻击。黑客通过让服务器进行偷渡式下载来破坏服务器或最终用户访问网站。

大多数Web应用程序攻击都是通过跨站点脚本(XSS)和SQL注入发生的, 这通常是由于编码错误以及无法清理Web应用程序的输入和输出而导致的。

如何减轻威胁?

这些威胁是针对特定应用程序的, 因此无法提供任何一般性建议。但是, 如果你部署第三方应用程序:

  • 请访问应用程序供应商网站以获取安全部署建议, 或向供应商寻求指导。
  • 搜索你的应用程序的已知漏洞。它们是如何进行的良好指示。例如。开始搜索的一个好方法是这个.
  • 使用漏洞扫描工具来识别已知漏洞。
  • 执行渗透测试, 以识别扫描仪可能遗漏的漏洞。
  • 作为规则2的结果, 请仅尝试部署没有已知漏洞的应用程序。
  • 使用最佳实践部署应用程序以限制潜在损害的影响。例如, 你可以使用最小特权或隔离的原则。
你自己的应用程序的其他注意事项:

将SDL方法论应用于应用程序, 例如威胁建模。

这将帮助你在应用程序的设计和开发阶段识别和管理漏洞。你可以在SDL上找到更多信息这里.

其他建议:

为了对这个主题有扎实的理解, 强烈建议你阅读以下部分列出的文章。

更多的信息:
  • 应用程序安全性:https://en.wikipedia.org/wiki/Application_security
  • Web应用程序安全性:https://en.wikipedia.org/wiki/Web_application_security
  • 保护Windows Server 2012R2:https://technet.microsoft.com/en-us/library/hh831360.aspx
  • 强化/保护应用程序资源:
    • 网络应用程序:https://www.nsa.gov/ia/_files/factsheets/Hardening_Deployed_WebApplications11182013.pdf
    • OWASP前10名:https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
    • 安全开发生命周期:https://www.microsoft.com/en-us/sdl/

Microsoft提供的内容旨在用于一般信息目的, 内容按原样提供, 对准确性, 正确性或可靠性不作任何明示或暗示的保证。所提供的信息不保证适用于特定目的。信息经过精心整理, 但是在此方面不承担任何责任, 特别是对于没有错误, 关于特定知识状态的时事性或用作用户负责任决策的基础。

一盏木

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: