信息安全工程师
为了更好的用户体验,并能正常使用所有功能,我们建议您使用 Chrome浏览器(点击下载>>)
资讯首页
直播课堂
视频课程
学习包
题库

首页 > 软考 > 信息安全工程师 > 信息安全工程师考试重点:Web安全的需求分析与基本设计

信息安全工程师考试重点:Web安全的需求分析与基本设计

  • 胡媛
  • 信息安全工程师
  • 2019-07-04
  • 信息安全工程师交流群: 626232680
摘要: 希赛网软考频道小编为大家整理了信息安全工程师考试重点:Web安全的需求分析与基本设计,希望对在备考信息安全工程师的考生有所帮助。

【考法分析】

本考点主要是对web安全需求分析与基本设计的考查。

【要点分析】

1.2013年版本的OWASP(开源Web应用安全项目) TOP10包括的十大最有可能发生的应用漏洞:① 注入攻击:攻击者通过在应用程序预先定义好的查询语句结尾加上额外的查询语句元素,欺骗数据库服务器执行非授权的任意查询;② 失效的身份认证和会话管理;③ 跨站脚本(XSS):当用户不小心单击这样带有恶意代码的链接时,其用户信息就有可能被攻击者盗取;④ 不安全的直接对象引用;⑤ 安全配置错误:许多设置的默认值并不是安全的;⑥ 敏感信息泄露;⑦ 功能级访问控制缺失;⑧ 跨站请求伪造(CSRF):一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求,包括该用户的会话cookie和其他认证信息,发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求;⑨ 使用更含有已知漏洞的组件;⑩ 未验证的重定向和转发。

2.可以从以下几个方面来避免漏洞攻击:① 常使用自带的安全的API;② 如果没法使用一个参数化的API,那么你应该使用解释器具体的escape语法来避免特殊字符;③ 加强对用户输入的验证。

3.对于失效的身份认证和会话管理的防范,我们可以从以下方面来着手:① 一套单一的强大的认证和会话管理控制系统;② 区分公共区域和受限区域;③ 锁定账户和禁用帐户策略;④ 保护身份验证Cookie;⑤ 口令、会话时限。

【备考点拨】

了解并理解相关知识点内容。

点击进入>>>希赛软考题库 信息安全工程师每日一练

想要了解更多软考考试资讯,可以关注希赛网软考频道

  • 本文标题: 信息安全工程师考试重点:Web安全的需求分析与基本设计
  • 本文链接:

近期直播

马小军

07-22 20:00-21:00
项目管理实践之需求管理

信息系统项目管理师

立即预约

罗福星

07-17 19:30-21:30
NPDP1905班分享会

罗卜

07-17 20:00-21:00
基金从业最新大纲解读

基金从业资格

进入课堂

周默默

今日 20:00-21:00
消防工程师7月份备考攻略

一级消防工程师

立即预约

胡钊源

今日 20:00-21:00
通信工程师中级互联网技术考试介绍

中级通信工程师

立即预约

萍子

今日 20:00-21:00
经济法高频考点——有限责任公司股东权利及股权转让

中级会计职称

立即预约

李碧茹

07-22 20:00-21:00
一小时速点经济TOP10★★★★★考点

一级建造师

立即预约

罗卜

07-23 20:00-21:00
证券从业考前助力—法律法规重难点解读(上)

证券从业资格

立即预约

李子静

07-23 20:00-21:00
教育学的产生与发展

幼儿教师资格证

立即预约

距离2020-05-23 考试还有

  • 3
  • 1
  • 0

题库

程序员
电子商务设计师
政策法规
考试大纲
考试报名
历年试题
信息安全工程师
软件评测师
系统规划与管理师
软件设计师
嵌入式系统设计师
软考英语
数据库系统工程师
网络工程师
网络管理员
网络规划设计师
系统分析师
系统集成项目管理工程师
系统架构设计师
信息处理技术员
信息系统管理工程师
信息系统监理师
信息系统项目管理师
信息系统运行管理员