信息安全工程师考试知识点：Web安全的需求分析与基本设计

　　信息安全工程师考试知识点有哪些?今天课课家小编为大家整理了信息安全工程师考试知识点：Web安全的需求分析与基本设计，供大家备考复习。

　　【考法分析】

　　本考点主要是对web安全需求分析与基本设计的考查。

　　【要点分析】

　　1.2013年版本的OWASP(开源Web应用安全项目) TOP10包括的十大最有可能发生的应用漏洞：① 注入攻击：攻击者通过在应用程序预先定义好的查询语句结尾加上额外的查询语句元素，欺骗数据库服务器执行非授权的任意查询;② 失效的身份认证和会话管理;③ 跨站脚本(XSS)：当用户不小心单击这样带有恶意代码的链接时，其用户信息就有可能被攻击者盗取;④ 不安全的直接对象引用;⑤ 安全配置错误：许多设置的默认值并不是安全的;⑥ 敏感信息泄露;⑦ 功能级访问控制缺失;⑧ 跨站请求伪造(CSRF)：一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求，包括该用户的会话cookie和其他认证信息，发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求;⑨ 使用更含有已知漏洞的组件;⑩ 未验证的重定向和转发。

　　2.可以从以下几个方面来避免漏洞攻击：① 常使用自带的安全的API;② 如果没法使用一个参数化的API，那么你应该使用解释器具体的escape语法来避免特殊字符;③ 加强对用户输入的验证。

　　3.对于失效的身份认证和会话管理的防范，我们可以从以下方面来着手：① 一套单一的强大的认证和会话管理控制系统;② 区分公共区域和受限区域;③ 锁定账户和禁用帐户策略;④ 保护身份验证Cookie;⑤ 口令、会话时限。

　　【备考点拨】

　　了解并理解相关知识点内容。

      课课家教育专注软考培训10年以上，一直坚持自主研发，将丰富的软考培训经验有效融入教程研发过程，自成体系的软考视频教程、软考培训教材和软考在线题库，使考生的学习更具系统性，辅导更具针对性。想要报考2021年软考的考生现在就可以开始备考了，报名课课家软考各科目考试赠送：辅导教材、历年真题、考前冲剌资料、在线模拟测试题库、老师专属答疑指导等，以保障学员顺利通过考试。

　　>>>>>>点击进入软考报名专题