应用安全工作的那些事儿 (应用安全工作指导手册范本)

教程大全 2025-07-08 13:53:43 浏览次

好久没写文章了，之前写的文章都是实际解决方案的文章往往看起来比较晦涩，本文就说说与我工作有关的故事吧。

先声明一下个人观点：

1. 应用安全工作决不可能都是由应用安全工作者完成的，不是全员参与的应用安全工作决不可能做出安全性很好的产品。

2. 公司期望所有与应用安全有关的工作均有应用安全工作者来完成，那一定是战略上的轻视、战术上的错误，最终必将以重大安全事故的出现而结束这场战争。

3. 企业应用安全工作者理应是：安全风险的识别者、解决方案策划者与设计者及企业工程师安全意识的培训者，必需得到最高层的直接重视方可得以很好的实施。安全的具体实施理应由普通的工程师完成，规范化渗透测试工作理应由普通的测试工程师来完成。导弹是高科技产品，它的零部件依然是普通的工人来完成的，不要认为应用安全很高深，普通工程师做不了，那是应用安全实现“工艺设计”人员的工作没做好!

【故事一】：xss的困惑

在公司的早期，当我演示XSS的问题给我们的开发者与测试人员的时候(e.g.，他们最最困惑的一个问题是：

|谁没事把自己的页面注入一串javascript的然后在自己的浏览器当中执行?这是漏洞吗?

这个问题看起来似乎很傻，其实不然，这里蕴涵着一个非常重要的问题：谁是攻击者、谁是受害者以及谁是责任者的问题，你想过这些问题吗?若想让你的公司的员工明白XSS问题的严重性必需让他们从根本上理解问题，方可以得以从心底里接受。于是我就做了一个虚拟的场景：

假如我是黑客，我发现某公司网站上可以注入JS脚本，于是我就巧妙的构造攻击URL，通过社会工程学的方式诱使对方点击我的URL，当对方处于登录状态时，我可以获取对方的会话信息、本地cookie信息等等，我可以做的事你可以想象了…，在这里我是攻击者，我们的产品用户是受害者，我们公司是责任者，你说我们要不要处理这个问题?

【故事二】：关于CSRF的那些事

先问问读者：CSRF是漏洞吗?

在我要求开发人员解决CSRF(CSRF概念可查询CSRF)问题的时候，我曾经被一个资深开发人员问的目瞪口呆，开发人员的问题是：

一个需要做身份验证的URL，我们在实现的时候已经做了严格的身份验证，现在你的要求等于是让我我们再做一次身份验证，这不是折腾吗?换句话问用户访问了一个只有登录成功才可以访问的URL，当用户登录后可以正常访问，为什么你还说它需要做身份验证?

开发人员的问题是有效的，且我认为是有价值的，如果你不能给开发人员解决这个问题，他们是不能从心底里形成类似问题的防御意识，相反他们会形成一种内心的抵抗，最终的效果将是可想而知的。于是我又做了一个场景的虚拟：

假如我是黑客，你是用户，我是黑客，当然我同时也是一个用户，没有迹象表明我是一个黑客，对于别的用户来说，我就是一个普通的用户而已。OK,你登录了我们的产品，我也登录了我们的产品，现在我找到了changePasswd.do的API，我发现它并没有做CSRF防范，但是这个URL是做了严格的身份认证检查的，现在我用changePasswd.do?newPWD=XXXX来构造一个URL，发给你，为了有隐秘性，我可以使用短链接的方式发给你，你一眼也看不出来它里面包含了什么，当你点击之后，它会怎么样? 开发说：可以正常运行! 我问：为什么不需要登录、为什么没要求身份验证? 开发说：我已经登录了!我说：这就是CSRF了，你觉得它严重吗?

此例子当中攻击者是我，受害者是那个开发人员，责任者依然是我们产品—服务的提供者。

【故事三】：身份认证与授权难解之惑

我们要求开发描述清楚你写的URL或者API的身份认证的要求，比如：mYinfo.do，

开发人员：只有登录的用户才可以访问myInfo.do，否则会转到登录页面要求用户登录。

我说：这样写是不对的，你这样写表明只要登录的用户都可以访问myInfo.do了.

开发人员：没错啊，登录的用户就可以访问myInfo.do，这有什么问题?

我说：如果我登录了，但是我访问的是你的myInfo.do会怎么样?

开发人员：(…沉思了一会…)，这种情况是可能存在的，但是这是比较偏的情况

我说：我们做安全需要考虑的就是可能存在的安全风险，正确的描述访问是：只有登录的用户才可以访问他自己的myInfo.do!读者可能会问：咬文嚼字吗? 我想说的是：这样的咬文嚼字必需有，否则后果很严重。

户外施工安全措施

去网络文库，查看完整内容>内容来自用户:上品网络科技有限公司户外施工安全措施目的：保证户外项目施工及施工人员的安全。实施范围：所有户外作业施工项目细则：1．施工人员必须戴安全帽，严禁喝酒上班，或带其它非工地工作人员进入施工场地。 2．使用梯子不能缺挡，不可垫高使用，梯脚要有防滑措施，超过二米以上梯子要有监护人，严禁二人以上同在梯子上作业，人字梯中间要有绳子扣牢。 3.使用移动电动工具者必须穿绝缘鞋、戴绝缘手套，金属外壳必须接地保护或接零保护。高空作业时要扎安全带、戴安全帽、脚手架外挂安全网封闭施工。 4．现场临时用电，电箱要保持完好无损，损伤的电气元器件必须及时更换。 5．照明动力要分开，并有二级保护，用电设备一机一闸，严禁乱接乱拖，一闸多机。 6．拆除的材料不得乱扔，作业下方派人监护。 7．现场临时电源线应采用橡皮电缆线，禁止使用塑料花线，禁止使用电线直接插入插座内。 8．设备的防护装置要完好，设备外壳要有完好的接地或接零保护。 9．施工设备要加强现场的维护保养，保持完好率，禁止带病运转和超负荷作业。 10．施工现场材料设备堆放整齐，不得存放在主要通道上，拆除的模板、钢管及其它物品及时清理，以保持现场的整洁有序。 11．施工现场动用电火焊，在作业区周围清除易燃物品，如靠近油库等易燃易爆仓库、发电机房、18

安全生产工作每月总结怎么写？

原发布者:彡彡九图文每月安全生产工作总结篇一：月度安全生产工作总结*****煤矿20XX年1月份安全生产工作总结我矿组织了全矿职工按上级要求认真开展了矿井安全生产工作，经过全矿职工的共同努力，基本上实现了矿井生产作业的安全，现将1月份的安全生产工作情况总结如下：一、所做的工作1.认真贯彻执行了上级有关安全生产的政策、文件和指令。让每一位职工充分认识到目前安全生产的形势及搞好安全生产的重要意义，在现场生产作业过程中，自觉做到按章操作。 2.抓了现场安全管理。一是坚持开展了每周一次全矿安全隐患排查治理工作，在1月份，共进行了2次安全隐患排查，共查出隐患7条，治理安全隐患7条，完成率100%。二是坚持了矿级领导下井带班制度，每班都有一名矿级领导到现场指导工作，并对重点工作面进行重点把关，确保了现场作业的正常进(:每月安全生产工作总结)行。三是坚持执行了安全巡回检查制度，每班矿都安排了安全员在现场进行巡回安全检查，督促现场作业人员按规定进行生产作业，并对现场出现的安全隐患进行了及时处理或汇报处理，保证了生产作业的安全。 3.抓了职工的安全思想教育。临近春节，争对职工思想活跃，容易产生对安全生产的麻痹思想这一特点，矿专门对职工进行了安全思想教育，并在每班的班前会上进行重点强调，保证了节日生产作业的安全。 *****煤矿三、加强安全检查，提高整治力度为切实搞好安全生产工作，我项目部每月一次例行检查，消防安全隐患。坚持“安全第一，预防为主，综合治理”的