国语对白精品一区二区 ,探花系列午夜寻花88av,日韩久久精品在线播放

當(dāng)前位置：

深圳網(wǎng)站建設(shè)公司怎樣避免Web應(yīng)用系統(tǒng)的脆弱性做好安全工作？

發(fā)布時間：2022-07-19

文章編輯：網(wǎng)站建設(shè) 文章來源：網(wǎng)站建設(shè)方案瀏覽量：次

深圳網(wǎng)站建設(shè)公司怎樣避免Web應(yīng)用系統(tǒng)的脆弱性做好安全工作？網(wǎng)站建設(shè)公司認(rèn)為針對Web應(yīng)用系統(tǒng)的安全威脅主要源于Web應(yīng)用系統(tǒng)自身的脆弱性，指Web應(yīng)用軟件開發(fā)在架構(gòu)設(shè)計、編碼階段引入的弱點。參照國際公開Web應(yīng)用安全組織（OWASP）的Top 10，深圳商城網(wǎng)站建設(shè)資深工程師將Web應(yīng)用系統(tǒng)存在的嚴(yán)重脆弱性統(tǒng)計如下。

（1）用戶輸入驗證不當(dāng)

• 跨站腳本漏洞。由于動態(tài)網(wǎng)頁的Web應(yīng)用對用戶提交請求參數(shù)未做充分的檢查過濾，允許用戶在提交的數(shù)據(jù)中摻入HTML代碼（最主要的是“＞”“＜”），然后未加編碼地輸出到第三方用戶的瀏覽器，攻擊者惡意提交代碼會被受害用戶的瀏覽器解釋執(zhí)行。攻擊者可以利用 XSS 漏洞借助存在漏洞的 Web 網(wǎng)站轉(zhuǎn)發(fā)攻擊其他瀏覽相關(guān)網(wǎng)頁的用戶，竊取用戶瀏覽會話中諸如用戶名和密碼（可能包含在Cookie里）的敏感信息，通過插入掛馬代碼對用戶執(zhí)行掛馬攻擊。

• 數(shù)據(jù)注入漏洞。主要是SQL注入漏洞，問題的成因在于對用戶提交CGI參數(shù)數(shù)據(jù)未做充分檢查過濾。用戶提交的數(shù)據(jù)可能會被用來構(gòu)造訪問后臺數(shù)據(jù)庫的SQL指令，從而非授權(quán)操作后臺的數(shù)據(jù)庫，導(dǎo)致敏感信息泄露、破壞數(shù)據(jù)庫內(nèi)容和結(jié)構(gòu)、甚至利用數(shù)據(jù)庫本身的擴展功能控制服務(wù)器操作系統(tǒng)。

• 未驗證的重定向。Web應(yīng)用程序經(jīng)常重定向至其他的網(wǎng)頁和網(wǎng)站，并使用不受信任的數(shù)據(jù)來確定目標(biāo)網(wǎng)頁。如果沒有適當(dāng)?shù)尿炞C，攻擊者可以將用戶重定向至釣魚網(wǎng)站或惡意網(wǎng)站，或者訪問未經(jīng)授權(quán)的網(wǎng)頁。

（2）認(rèn)證授權(quán)等自身安全管理漏洞

• 不安全地直接訪問對象。由于網(wǎng)頁應(yīng)用實現(xiàn)上的問題，動態(tài)網(wǎng)頁對用戶提交的參數(shù)對應(yīng)的后臺數(shù)據(jù)是否具有訪問權(quán)限未做充分驗證，用戶可以通過手工設(shè)置猜測其他用戶的數(shù)據(jù)索引值（一般就是數(shù)據(jù)庫中某個表的主鍵）及非授權(quán)地訪問數(shù)據(jù)庫中其他用戶相關(guān)的存儲信息。

• URL 訪問控制不當(dāng)。Web 站點可能包含一些不在正常應(yīng)用系統(tǒng)數(shù)據(jù)目錄樹內(nèi)的 URL 鏈接。攻擊者可能通過猜測嘗試訪問可能的鏈接來獲取非授權(quán)訪問。

（3）會話管理漏洞

• 動態(tài)網(wǎng)頁認(rèn)證與會話管理不當(dāng)。Web系統(tǒng)對用戶訪問的會話憑據(jù)處理可能存在漏洞，比如，單純通過Cookie來標(biāo)記識別用戶會話，使用容易猜測的會話ID，允許暴力猜測會話ID，會話超時設(shè)置過長不自動撤銷會話等。這類漏洞可能允許用戶冒充其他用戶獲取非授權(quán)的訪問。

• 跨站請求偽造。應(yīng)用系統(tǒng)有XSS漏洞時，CSRF可以對XSS漏洞進行更高級的利用。利用的核心在于通過XSS漏洞在用戶瀏覽器上執(zhí)行功能相對復(fù)雜的JavaScript腳本代碼來劫持用戶瀏覽器訪問存在XSS漏洞網(wǎng)站的會話，攻擊者可以與運行于用戶瀏覽器中的腳本代碼交互，使攻擊者以受攻擊瀏覽器用戶的權(quán)限執(zhí)行惡意操作。

（4）數(shù)據(jù)機密性隱患

• 不安全地進行數(shù)據(jù)存儲。Web應(yīng)用相關(guān)的一些敏感數(shù)據(jù)未進行安全存儲，比如，密碼數(shù)據(jù)以明文方式存放在數(shù)據(jù)庫表里，通過利用SQL注入之類的漏洞就可以很容易地列舉出來。

• 不安全的網(wǎng)絡(luò)通信。HTTP協(xié)議本身是明文的，敏感數(shù)據(jù)，比如認(rèn)證信息，安全傳輸只能借助外加的加密機制，而目前大多數(shù)的Web應(yīng)用都不是加密的，只要攻擊者可以嗅探網(wǎng)絡(luò)數(shù)據(jù)分組就能獲取大量的敏感信息，即使傳輸?shù)氖羌用芎蟮拿艽a信息，也還存在重放攻擊的威脅。

（5）異常處理漏洞

主要包括信息泄露和不恰當(dāng)?shù)腻e誤處理。很多基于后臺數(shù)據(jù)庫的Web應(yīng)用在出現(xiàn)錯誤時會輸出過于豐富的信息，比如錯誤類型、出現(xiàn)錯誤腳本的絕對路徑、網(wǎng)頁主目錄的絕對路徑、出現(xiàn)錯誤的SQL語句及參數(shù)、軟件的版本、系統(tǒng)的配置信息等。信息泄露漏洞本身可能并不太重要，但結(jié)合其他漏洞（比如SQL注入）可能會極大地提高攻擊入侵的效率。

（6）安全審計漏洞

主要是指安全審計功能存在缺陷，包括缺乏有效的安全審計功能，無法對應(yīng)用程序重要安全事件進行審計以及審計記錄內(nèi)容不完整等。

（7）配置管理脆弱性

• 服務(wù)配置不當(dāng)。存在可能被攻擊者利用的服務(wù)配置缺陷，例如存在不必要的默認(rèn)文件和示例文件，使用默認(rèn)賬號和密碼，文件目錄權(quán)限設(shè)置不當(dāng)，SSL設(shè)置錯誤等。

• 應(yīng)用配置不當(dāng)。存在可能被攻擊者利用的應(yīng)用配置缺陷，如啟用了不安全的調(diào)試功能，導(dǎo)致攻擊者繞過認(rèn)證機制訪問敏感信息或提升權(quán)限。

深圳商城網(wǎng)站建設(shè)公司統(tǒng)計針對Web應(yīng)用的威脅有哪些

參照國際公開組織Web應(yīng)用安全性協(xié)會（Web Application Security Consortium，WASC）的威脅分類WASC TC，Web類應(yīng)用系統(tǒng)面臨的主要威脅有如下幾類。

（1）邏輯攻擊

• 拒絕服務(wù)。攻擊者可以編寫腳本和程序，生成大量子進程，請求同一個URL并保持，消耗服務(wù)器的CPU、內(nèi)存和連接數(shù)資源，使得合法用戶無法正常訪問。

• 功能濫用。攻擊者濫用Web應(yīng)用提供的功能（如郵件發(fā)送、密碼恢復(fù)等）導(dǎo)致資源耗盡、訪問控制機制被繞過、信息泄露等。最為常見的攻擊方式有利用網(wǎng)站搜索功能訪問不在正常網(wǎng)站數(shù)據(jù)目錄樹內(nèi)的訪問受限文件。

• 自動表單提交。攻擊者使用表單提交工具，向登錄、注冊服務(wù)、郵件、賬號維護等表單自動提交信息的惡意行為。

• URL跳躍。對Web程序不恰當(dāng)?shù)臓顟B(tài)管理可能導(dǎo)致攻擊者繞過頁面正常訪問順序的攻擊。

（2）認(rèn)證繞過

• 暴力破解。因認(rèn)證強度低于業(yè)務(wù)安全要求，攻擊者可以通過窮舉方式自動猜測用戶登錄身份憑證、會話憑證以及未公開目錄及文件名。

• 認(rèn)證繞過。繞過認(rèn)證對敏感內(nèi)容或功能進行非授權(quán)訪問。

• 不安全的密碼恢復(fù)機制。應(yīng)用系統(tǒng)采用了不安全的密碼恢復(fù)機制，攻擊者可以通過暴力破解、安全問題猜測等手段繞過密碼恢復(fù)機制，從而非法獲得、更改或恢復(fù)他人的密碼。

（3）授權(quán)繞過

• 非授權(quán)訪問。因用戶賬號設(shè)計不合理，Web應(yīng)用未能有效執(zhí)行授權(quán)檢查，攻擊者可以違反安全策略，執(zhí)行權(quán)限之外的功能或者訪問權(quán)限之外的數(shù)據(jù)或功能。

• 身份憑證/會話預(yù)測。攻擊者推斷或猜測出會話憑證，劫持用戶會話或仿冒用戶，從而獲得非授權(quán)訪問。

• 會話重用。Web應(yīng)用程序允許重復(fù)使用會話憑證或會話ID，導(dǎo)致攻擊者冒充其他用戶身份。

• 跨站請求偽造。攻擊者挾持用戶在當(dāng)前已登錄的Web應(yīng)用程序執(zhí)行非本意的操作。

（4）客戶端攻擊

主要包括跨站腳本攻擊和URL重定向攻擊。原理如前面所述。

（5）基于用戶輸入的攻擊

• 溢出攻擊。其主要原理是向應(yīng)用程序提交惡意參數(shù)，以求寫入或訪問緩沖區(qū)之外的內(nèi)存信息。主要包括整數(shù)溢出、格式化字符串攻擊、緩沖區(qū)溢出。

• 注入攻擊。主要包括SQL注入、SSL注入、XPath注入、LDAP注入。

（6）信息泄露

主要包括目錄遍歷攻擊和URL猜測。還包括指紋泄露，指攻擊者在實施攻擊前收集應(yīng)用程序信息，包括Web服務(wù)器軟件類型及版本、Web應(yīng)用程序編程語言（如ASP、.NET、PHP或Java等）、數(shù)據(jù)庫類型及版本、Web服務(wù)等信息。

（7）惡意代碼

惡意代碼主要是指后門程序。好了，深圳網(wǎng)站建設(shè)公司本文關(guān)于“怎樣避免Web應(yīng)用系統(tǒng)的脆弱性做好安全工作？”建站經(jīng)驗與知識就分享到這里。您如果需要你聯(lián)系深圳商城網(wǎng)站建設(shè)公司為您量身定制電商網(wǎng)站，請撥打我們建站技術(shù)客服電話，為您提供安全快捷的商城網(wǎng)站建設(shè)方案。謝謝關(guān)注，博納網(wǎng)絡(luò)編輯整理。

當(dāng)前文章鏈接：/construction/fach/14889.html

上一篇：商城網(wǎng)站建設(shè)第三方支付典型產(chǎn)品及其安全機制解決方案分享下一篇：深圳網(wǎng)站建設(shè)公司如何使用 Pattern Lab設(shè)計布局網(wǎng)站前端的？

返回列表

如果您覺得案例還不錯請幫忙分享：

[聲明]本網(wǎng)轉(zhuǎn)載網(wǎng)絡(luò)媒體稿件是為了傳播更多的信息，此類稿件不代表本網(wǎng)觀點，本網(wǎng)不承擔(dān)此類稿件侵權(quán)行為的連帶責(zé)任。故此，如果您發(fā)現(xiàn)本網(wǎng)站的內(nèi)容侵犯了您的版權(quán)，請您的相關(guān)內(nèi)容發(fā)至此郵箱【qin@198bona.com 】，我們在確認(rèn)后，會立即刪除，保證您的版權(quán)。

夏目彩春av在线看,夏目彩春av在线看,亚洲国产成人精品日韩18,搡老岳熟女国产熟妇视频,欧美国产亚洲欧美国产,99久久蜜人人爽亚洲精品美女,3p少妇亚洲一区二区三区欧美,美女天天干美女天天操,男女啪啪啪噜噜噜免费观看网站

深圳網(wǎng)站建設(shè)—APP開發(fā)—網(wǎng)站制作—小程序開發(fā)_博納網(wǎng)絡(luò)公司

當(dāng)前位置：

深圳網(wǎng)站建設(shè)公司怎樣避免Web應(yīng)用系統(tǒng)的脆弱性做好安全工作？

如果您覺得案例還不錯請幫忙分享：

相關(guān)案例推薦

資訊分類

最新發(fā)布

相關(guān)資訊

熱門搜索

夏目彩春av在线看,夏目彩春av在线看,亚洲国产成人精品日韩18,搡老岳熟女国产熟妇视频,欧美国产亚洲欧美国产,99久久蜜人人爽亚洲精品美女,3p少妇亚洲一区二区三区欧美,美女天天干美女天天操,男女啪啪啪噜噜噜免费观看网站

深圳網(wǎng)站建設(shè)—APP開發(fā)—網(wǎng)站制作—小程序開發(fā)_博納網(wǎng)絡(luò)公司

當(dāng)前位置：

深圳網(wǎng)站建設(shè)公司怎樣避免Web應(yīng)用系統(tǒng)的脆弱性做好安全工作？

相關(guān)案例推薦

資訊分類

最新發(fā)布

相關(guān)資訊

熱門搜索

深圳網(wǎng)站建設(shè)公司怎樣避免Web應(yīng)用系統(tǒng)的脆弱性做好安全工作？