2015-02-10 分類: 網站建設
Web應用程序的基本安全問題(所有用戶輸軸入都不可信)致使應用程序實施大量安影制來抵攻擊。盡管其設計細節與執行效率可能千差萬別,但幾子所有應用程序的安全機制在概念上都具有相似性。
Web應用程序采用的防每機制由以下幾個核心因素構成。
口處理用戶詩問應用程序的數據與功能,防止用戶獲得未權訪問。
口處理用戶對應用程序功能的輸人,防止錯誤驗人造成不良行為。
口防范攻擊者,確保應用程序在成為直接攻擊日標時能夠正常運轉,并采取適當的防每與攻擊描施推敗攻擊者。
口管理應用程序本身,幫助管理員監控其行為,配置其功能
鑒于它們在解決核心安全問題過程中所發揮的重要作用,一個典型應用程序的絕大多數受政擊面也由這些機制構成。知已知彼是戰爭的首要法則,那么防攻擊者向應用程序發動有如擊的重要前提是徹底了解這些機制。無論讀者在透測試方面是否有經驗,都應花時間了解過核心機制在遇到的每一種應用程序中的工作原理,并確定使其易于受到攻擊的弱點。
1、處理用戶訪問
幾乎任何應用程序都必須滿足一個中心安全要求,即處理用戶訪問其數據與功能。在通含情況下,用戶一般分為幾種類型,如置名用戶、正常通過驗證的用戶和管理用戶。面且,許多情況下,不同的用戶只允許訪問不同的數據,例如,Web郵件應用程序的用戶只能閱讀自己的面他人的電子郵件。
大多數Web應用程序使用三層相互關聯的安全機制處理用戶訪問:
口身份驗證;
口會話管理
口訪問控制。
上述每一個機制都是應用程序受攻擊面的一個關鍵部分,對于應用程序的總體安全狀況極其重要。由于這些機制相互依賴,因此根本不能提供強大的總體安全保護,任何一個部分存在缺陷都可使攻擊者自由訪問應用程序的功能與數據。
2、處理用戶輸入
所有用戶輸入都不可信。大量針對Web應用程序的不同攻擊都與提交錯誤輸入有關,攻擊者專門設計這類輸入,以引發應用程序設計者無法預料的行為。因此,能夠安全處理用戶輸入是對應程序安全防御的一個關鍵要求。
應用程序每一項功能以及幾乎每一種常用的技術都可能出現輸入方面的漏洞。通常來說,輸入確認是防御這些攻擊的必要手段。然后,任何一種保護機制都不是萬能的,防御惡意輸入也并非如聽起來那樣簡單。
3、處理攻擊者
任何設計安全應用程序的開發人員必須基于這樣一個假設:應用程序將成為蓄意破壞且經驗豐富的攻擊者的直接攻擊目標。能夠以受控的方式處理并應對這些攻擊,是應用程序安全機制的一項主要功能。這些機制通常結合使用一系列防御與攻擊措施,以盡可能地阻止攻擊者,并就所發生的事件,通知應用程序所有者以及提供相應的證據。為處理攻擊者而采取的措施一般由以下任務組成:
口處理錯誤;
口維護審計日志;
口向管理員發出警報;
口應對攻擊。
盡管存在巨大差異,但幾乎所有的Web應用程序都以某種形式采用相同的核心安全機制。這些機制是應用程序應對惡意用戶所采取的主要防御措施,因而應用程序的受攻擊面大部分也由它們構成。我們在本書后面介紹的漏洞也主要源于這些核心機制中存在的缺陷。在這些機制中,處理用戶訪問和用戶輸人的機制是最重要的機制。當針對應用程序發動攻擊時,它們將成為主要攻擊對象。利用這些機制中存在的缺陷通??梢酝耆テ普麄€應用程序,使攻擊者能夠訪問其他用戶的數據、執行未授權操作以及注入任意代碼和命令。
文章名稱:網站建設核心防御機制
URL標題:http://m.newbst.com/news/16852.html
成都網站建設公司_創新互聯,為您提供關鍵詞優化、軟件開發、動態網站、域名注冊、企業建站、虛擬主機
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容