OWASP要素增强Web应用程序安全

保护帐号列表

阻止黑客利用用户账户登录系统的一个方法就是保护合法账户的帐户列表。本安全指南对此就不再展开了。作为一个整体的Web程序安全方案，保护好合法账户列表可以增加黑客入侵系统的难度。

管理程序组件的信任关系

Web应用程序组件之间不应该含有内在的信任关系。每个组件在传递敏感信息前，都应该要求其它组件提供验证信息。

一旦策略，标准和指导方案确定下来，你就需要保证各方面的一致性了。我建议采用两种方式，第一是检查代码。不过也许你并没有足够的资源来逐行检查代码。如果没有能力采用自动化的代码安全检查工具，至少要对重点代码进行安全方面的审查。

其次进行渗透性测试。常用的渗透性测试可以帮助你确定Web应用程序组件在用户交互方面以及与其它组件间的交互性上存在的漏洞。

总结

以下是OWASP提供的针对账户和线程管理漏洞的建议：

◆不要接受带有新的，预设的或者非法的线程号的访问请求URL。
◆尽量减少客户cookies中用于验证和线程管理的代码。
◆采用具有足够强度的单一的验证机制，这种机制不要过于复杂，因为越复杂越容易出现安全问题。
◆不要在一个未加密的页面中开始登录过程。
◆在验证成功后应该更新线程号，或者修改线程的特权等级。
◆确保每个页面都有退出登录链接。
◆采用超时机制强行退出一些长时间没有操作的线程。超时长度根据所设计的敏感内容而定。
◆密码恢复或重置应该采用强健的确认问题。诸如父母的姓名这类问题非常容易获取。
◆不要将线程ID或者身份凭证部分或全部加入URL或者日志中。 '

一般来说，身份验证和线程安全对于Web应用的安全来说至关重要。一个Web应用程序就算再强壮，如果在线程管理和密码管理方面存在漏洞，那么就很容易成为黑客攻击的牺牲品。