亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        5個(gè)常見的Web應(yīng)用漏洞及其解決方法

        2013-04-18 03:30:36曾少寧
        關(guān)鍵詞:身份驗(yàn)證腳本攻擊者

        本文介紹了5個(gè)最常見的W eb應(yīng)用漏洞,以及企業(yè)該如何修復(fù)初級問題,對抗那些針對這些漏洞的攻擊。

        注入攻擊和跨站腳本攻擊

        W eb應(yīng)用主要有2種最常見的嚴(yán)重缺陷。首先是各種形式的注入攻擊,其中包括SQL、操作系統(tǒng)、電子郵件和LDAP注入,它們的攻擊方式都是在發(fā)給應(yīng)用的命令或查詢中夾帶惡意數(shù)據(jù)。別有用心的數(shù)據(jù)可以讓應(yīng)用執(zhí)行一些惡意命令或訪問未授權(quán)數(shù)據(jù)。如果網(wǎng)站使用用戶數(shù)據(jù)生成SQL查詢,而不檢查用戶數(shù)據(jù)的合法性,那么攻擊者就可能執(zhí)行SQL注入。這樣攻擊者就可以直接向數(shù)據(jù)庫提交惡意SQL查詢和傳輸命令。舉例來說,索尼的PlayStation數(shù)據(jù)庫就曾經(jīng)遭遇過SQL注入攻擊,并植入未授權(quán)代碼。

        跨站腳本 (XSS)攻擊會(huì)將客戶端腳本代碼 (如JavaScript)注入到W eb應(yīng)用的輸出中,從而攻擊應(yīng)用的用戶。只要訪問受攻擊的輸出或頁面,瀏覽器就會(huì)執(zhí)行代碼,讓攻擊者劫持用戶會(huì)話,將用戶重定向到一個(gè)惡意站點(diǎn)或者破壞網(wǎng)頁顯示效果。XSS攻擊很可能出現(xiàn)在動(dòng)態(tài)生成的頁面內(nèi)容中,通常應(yīng)用會(huì)接受用戶提供的數(shù)據(jù)而沒有正確驗(yàn)證或轉(zhuǎn)碼。

        為了防御注入攻擊和XSS攻擊,應(yīng)用程序應(yīng)該配置為假定所有數(shù)據(jù)——無論是來自表單、URL、Cookie或應(yīng)用的數(shù)據(jù)庫,都是不可信來源。要檢查所有處理用戶提供數(shù)據(jù)的代碼,保證它是有效的。驗(yàn)證函數(shù)需要清理所有可能有惡意作用的字符或字符串,然后再將它傳給腳本和數(shù)據(jù)庫。要檢查輸入數(shù)據(jù)的類型、長度、格式和范圍。開發(fā)者應(yīng)該使用現(xiàn)有的安全控制庫,如OWASP的企業(yè)安全API或微軟的反跨站腳本攻擊庫,而不要自行編寫驗(yàn)證代碼。此外,一定要檢查所有從客戶端接受的值,進(jìn)行過濾和編碼,然后再傳回給用戶。

        身份驗(yàn)證和會(huì)話管理被攻破

        W eb應(yīng)用程序必須處理用戶驗(yàn)證,并建立會(huì)話跟蹤每一個(gè)用戶請求,因?yàn)镠TTP本身不具備這個(gè)功能。除非任何時(shí)候所有的身份驗(yàn)證信息和會(huì)話身份標(biāo)識都進(jìn)行加密,保證不受其他缺陷 (如XSS)的攻擊,否則攻擊者就有可能劫持一個(gè)激活的會(huì)話,偽裝成某個(gè)用戶的身份。如果一個(gè)攻擊者發(fā)現(xiàn)某個(gè)原始用戶未注銷的會(huì)話 (路過攻擊),那么所有帳號管理功能和事務(wù)都必須重新驗(yàn)證,即使用戶有一個(gè)有效的會(huì)話ID。此外,在重要的事務(wù)中還應(yīng)該考慮使用雙因子身份驗(yàn)證。

        為了發(fā)現(xiàn)身份驗(yàn)證和會(huì)話管理問題,企業(yè)要以執(zhí)行代碼檢查和滲透測試。開發(fā)者可以使用自動(dòng)化代碼和漏洞掃描程序,發(fā)現(xiàn)潛在的安全問題。有一些地方通常需要特別注意,其中包括會(huì)話身份標(biāo)識的處理方式和用戶修改用戶身份信息的方法。如果沒有預(yù)算購買商業(yè)版本,那么也可以使用許多開源和簡化版本軟件,它們可以發(fā)現(xiàn)一些需要更仔細(xì)檢查的代碼或進(jìn)程。

        不安全的直接對象引用

        這是應(yīng)用設(shè)計(jì)不當(dāng)引起的另一個(gè)缺陷,它的根源是錯(cuò)誤地假定用戶總是會(huì)遵循應(yīng)用程序的規(guī)則。例如,如果用戶的帳號ID顯示在頁面的URL或隱藏域中,惡意用戶可能會(huì)猜測其他用戶的ID,然后再次提交請求訪問他們的數(shù)據(jù),特別是當(dāng)ID值是可以猜測的時(shí)候。防止這種漏洞的最佳方法是使用隨機(jī)、不可猜測的ID、文件名和對象名,而且不要暴露對象的真實(shí)名稱。常見的錯(cuò)誤暴露數(shù)據(jù)的位置是URL和超鏈接、隱藏表單域、ASP.NET的未保護(hù)視圖狀態(tài)、 直接列表框、JavaScript代碼和客戶端對象(如Java Applet)。每次訪問敏感文件或內(nèi)容時(shí),都要驗(yàn)證訪問數(shù)據(jù)的用戶已獲得授權(quán)。

        安全性配置不當(dāng)

        支持W eb應(yīng)用程序的基礎(chǔ)架構(gòu)包含各種各樣的設(shè)備和軟件——服務(wù)器、防火墻、數(shù)據(jù)庫、操作系統(tǒng)和應(yīng)用軟件。所有這些元素都必須正確配置和保證安全,應(yīng)用程序只是運(yùn)行在最低權(quán)限配置上,但是許多系統(tǒng)本身還不夠安全。系統(tǒng)管理不當(dāng)?shù)囊粋€(gè)主要原因是W eb應(yīng)用程序管理人員和基礎(chǔ)架構(gòu)支持人員從未接受過必要的培訓(xùn)。

        為執(zhí)行日常網(wǎng)絡(luò)應(yīng)用管理的人員提供足夠的培訓(xùn)和資源,這是在開發(fā)過程中所有階段保證安全性和保密性的重要條件。最后,要為W eb應(yīng)用程序安排一個(gè)滲透測試,處理所有敏感數(shù)據(jù)。這是一種主動(dòng)評估應(yīng)用抵抗攻擊能力的方法,可以在受到攻擊前發(fā)現(xiàn)系統(tǒng)漏洞。

        結(jié)束語

        一直以來,這5種常見的W eb應(yīng)用漏洞都是IT安全的痛處。它們并不是新漏洞,但是它們都沒有解決,在人們對W eb應(yīng)用安全有足夠認(rèn)識之前,攻擊者仍然會(huì)想盡辦法繼續(xù)利用這些缺陷發(fā)起偷盜、欺騙和網(wǎng)絡(luò)間諜等攻擊。

        猜你喜歡
        身份驗(yàn)證腳本攻擊者
        酒駕
        基于微分博弈的追逃問題最優(yōu)策略設(shè)計(jì)
        安奇奇與小cool 龍(第二回)
        數(shù)據(jù)庫系統(tǒng)shell腳本應(yīng)用
        電子測試(2018年14期)2018-09-26 06:04:24
        正面迎接批判
        愛你(2018年16期)2018-06-21 03:28:44
        HID Global收購Arjo Systems擴(kuò)大政府身份驗(yàn)證業(yè)務(wù)
        快樂假期
        有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
        更安全的雙重密碼保護(hù)
        CHIP新電腦(2015年3期)2015-04-02 17:55:46
        身份驗(yàn)證中基于主動(dòng)外觀模型的手形匹配
        亚洲av无码不卡久久| a黄片在线视频免费播放| 久久不见久久见免费视频6| 国产va在线观看免费| 无遮挡十八禁在线视频国产制服网站| 色青青女同性恋视频日本熟女| 中文字日产幕码三区的做法步| 国产综合无码一区二区辣椒 | 国内熟女啪啪自拍| 欧美老妇人与禽交| 久久国产精品男人的天堂av | 性无码国产一区在线观看| 青青草中文字幕在线播放| 久久久久久亚洲av成人无码国产| 欧美人与动牲交片免费| 中文字幕精品永久在线| av在线免费观看网站免费| 国产肥熟女视频一区二区三区| 亚州精品无码人妻久久| 日韩午夜三级在线视频| 午夜精品久久久久久久| 装睡被陌生人摸出水好爽| 日韩AV无码乱伦丝袜一区| 亚洲美女自拍偷拍视频| 国产精成人品日日拍夜夜免费| 中年人妻丰满AV无码久久不卡| 成年女人18毛片观看| 精品福利一区二区三区免费视频 | 特级做a爰片毛片免费看| 亚洲深深色噜噜狠狠爱网站| 喷潮出白浆视频在线观看| 二区三区三区视频在线观看| 中文字幕精品一区二区2021年| 国产精品一区二区三区精品| 中文字幕亚洲入口久久 | 国产女主播强伦视频网站| 亚洲第一幕一区二区三区在线观看 | 国产好大好硬好爽免费不卡| 国产亚洲AV无码一区二区二三区| 精品黑人一区二区三区久久hd| 狠狠的干性视频|