今天浏览到一份很不错的教程,涉及到了现代业务下的WEB架构安全研发。感觉需要记录一下:
前言
没有绝对安全的系统
对于研发而言,感觉网络安全可能和自己的日常代码没有太大关系,在工作中,实际上我们很多时候感觉安全这个问题离我们很远。
在进入公司就职时,就看到过很多信息安全的案例,最严重的情况下,会引发法律风险。
想象一下:
- 你辛辛苦苦写的代码,一旦上线就被发现漏洞百出,然后回退代码修复重新上线,耽误发布时间。
- 因为自己代码的小漏洞,公司的重要数据被泄露,甚至引发了法律问题。
好像听起来很骇人听闻?这些都是有案例的。一个未经处理的GitHub仓库上传,一次忽略的API鉴权,一次不经意的上线,都会成为问题的导火索。
网络安全是什么?首先要清楚:网络只是一个数据通信的载体,真正被攻击的永远都是网络传输的终端、或者是大家写出来的一行行代码。所以说,研发过程才是安全的第一线,而,安全就是日常开发中最容易忽视的问题,所以说提高研发同学的安全意识,养成良好的代码编码习惯就很重要了。
当前现状
经过我的了解,有一些公司会针对这个现象成立专门的安全团队,主要就是对代码安全,有一个叫做SDL(安全开发生命周期) 的概念:在业务进行项目评审,代码测试,代码上线的时候,或多或少地会有安全部门插手。
这些安全手段确实会扼杀很多安全问题的萌芽,但是其实还是无法根绝,始终都会有漏网之鱼。
更何况我供职的公司也压根没有这种团队,也没有安全人员进行兜底,这就是最可怕的,意识不到安全问题的存在
目的
所以,为了弥补我这缺失的安全意识,我决定记录这些学习的过程,并且将其编辑为文集,侧重于基础漏洞代码的修复。根据我个人职业规划的方向,这次的研究方向主要集中在当下WEB架构下的安全,对前后端基础漏洞,业务逻辑漏洞,以及部分数据安全问题进行展开研究,主要针对于代码层面进行漏洞研究
最终目的:了解漏洞,熟悉修复方法,知道怎么避免安全隐患