Web應(yīng)用中常見(jiàn)39種不同的安全漏洞漏洞分析和檢查方法

Web應(yīng)用中常見(jiàn)39種不同的安全漏洞漏洞分析和檢查方法

ID:37095327

大?。?90.01 KB

頁(yè)數(shù):21頁(yè)

時(shí)間:2019-05-17

Web應(yīng)用中常見(jiàn)39種不同的安全漏洞漏洞分析和檢查方法_第1頁(yè)
Web應(yīng)用中常見(jiàn)39種不同的安全漏洞漏洞分析和檢查方法_第2頁(yè)
Web應(yīng)用中常見(jiàn)39種不同的安全漏洞漏洞分析和檢查方法_第3頁(yè)
Web應(yīng)用中常見(jiàn)39種不同的安全漏洞漏洞分析和檢查方法_第4頁(yè)
Web應(yīng)用中常見(jiàn)39種不同的安全漏洞漏洞分析和檢查方法_第5頁(yè)
資源描述:

《Web應(yīng)用中常見(jiàn)39種不同的安全漏洞漏洞分析和檢查方法》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。

1、專(zhuān)業(yè)資料Web應(yīng)用中常見(jiàn)39種不同的安全漏洞漏洞分析及檢查方法1.1?SQL注入漏洞風(fēng)險(xiǎn)等級(jí):高危漏洞描述:SQL注入漏洞產(chǎn)生的原因是網(wǎng)站應(yīng)用程序在編寫(xiě)時(shí)未對(duì)用戶(hù)提交至服務(wù)器的數(shù)據(jù)進(jìn)行合法性校驗(yàn),即沒(méi)有進(jìn)行有效地特殊字符過(guò)濾,導(dǎo)致網(wǎng)站服務(wù)器存在安全風(fēng)險(xiǎn),這就是SQLInjection,即SQL注入漏洞。漏洞危害:1)機(jī)密數(shù)據(jù)被竊取;2)核心業(yè)務(wù)數(shù)據(jù)被篡改;3)網(wǎng)頁(yè)被篡改;4)數(shù)據(jù)庫(kù)所在服務(wù)器被攻擊從而變?yōu)榭苤鳈C(jī),導(dǎo)致局域網(wǎng)(內(nèi)網(wǎng))被入侵。修復(fù)建議:1)?在網(wǎng)頁(yè)代碼中對(duì)用戶(hù)輸入的數(shù)據(jù)進(jìn)行嚴(yán)格過(guò)濾;(代碼層)2)?部署Web應(yīng)用防火墻;(設(shè)備層)3)?對(duì)數(shù)據(jù)庫(kù)操作進(jìn)行監(jiān)控。(

2、數(shù)據(jù)庫(kù)層)代碼層最佳防御sql漏洞方案:采用sql語(yǔ)句預(yù)編譯和綁定變量,是防御sql注入的最佳方法。原因:采用了PreparedStatement,就會(huì)將sql語(yǔ)句:"selectid,nofromuserwhereid=?"預(yù)先編譯好,也就是SQL引擎會(huì)預(yù)先進(jìn)行語(yǔ)法分析,產(chǎn)生語(yǔ)法樹(shù),生成執(zhí)行計(jì)劃,也就是說(shuō),后面你輸入的參數(shù),無(wú)論你輸入的是什么,都不會(huì)影響該sql語(yǔ)句的語(yǔ)法結(jié)構(gòu)了,因?yàn)檎Z(yǔ)法分析已經(jīng)完成了,而語(yǔ)法分析主要是分析sql命令,比如select,from,where,and,or,orderby等等。所以即使你后面輸入了這些sql命令,也不會(huì)被當(dāng)成sql命令來(lái)執(zhí)行了

3、,因?yàn)檫@些sql命令的執(zhí)行,必須先的通過(guò)語(yǔ)法分析,生成執(zhí)行計(jì)劃,既然語(yǔ)法分析已經(jīng)完成,已經(jīng)預(yù)編譯過(guò)了,那么后面輸入的參數(shù),是絕對(duì)不可能作為sql命令來(lái)執(zhí)行的,只會(huì)被當(dāng)做字符串字面值參數(shù),所以sql語(yǔ)句預(yù)編譯可以防御sql注入。其他防御方式:正則過(guò)濾?word完美格式專(zhuān)業(yè)資料1.2?目錄遍歷漏洞風(fēng)險(xiǎn)等級(jí):中危漏洞描述:通過(guò)該漏洞可以獲取系統(tǒng)文件及服務(wù)器的配置文件。利用服務(wù)器API、文件標(biāo)準(zhǔn)權(quán)限進(jìn)行攻擊。漏洞危害:黑客可獲得服務(wù)器上的文件目錄結(jié)構(gòu),從而下載敏感文件。修復(fù)建議:1)?通過(guò)修改配置文件,去除中間件(如IIS、apache、tomcat)的文件目錄索引功能2)?設(shè)置目

4、錄權(quán)限3)?在每個(gè)目錄下創(chuàng)建一個(gè)空的index.html頁(yè)面。?1.3?跨站腳本漏洞即XSS漏洞,利用跨站腳本漏洞可以在網(wǎng)站中插入任意代碼,它能夠獲取網(wǎng)站管理員或普通用戶(hù)的cookie,隱蔽運(yùn)行網(wǎng)頁(yè)木馬,甚至格式化瀏覽者的硬盤(pán)。漏洞危害:1)?網(wǎng)絡(luò)釣魚(yú),盜取管理員或用戶(hù)帳號(hào)和隱私信息等;2)?劫持合法用戶(hù)會(huì)話,利用管理員身份進(jìn)行惡意操作,篡改頁(yè)面內(nèi)容、進(jìn)一步滲透網(wǎng)站;3)?網(wǎng)頁(yè)掛馬、傳播跨站腳本蠕蟲(chóng)等;4)?控制受害者機(jī)器向其他系統(tǒng)發(fā)起攻擊。修復(fù)建議:設(shè)置httponlyhttponly無(wú)法完全的防御xss漏洞,它只是規(guī)定了不能使用js去獲取cookie的內(nèi)容,因此它只能防

5、御利用xss進(jìn)行cookie劫持的問(wèn)題。Httponly是在set-cookie時(shí)標(biāo)記的,可對(duì)單獨(dú)某個(gè)參數(shù)標(biāo)記也可對(duì)全部參數(shù)標(biāo)記。由于設(shè)置httponly的方法比較簡(jiǎn)單,使用也很靈活,并且對(duì)防御cookie劫持非常有用,因此已經(jīng)漸漸成為一種默認(rèn)的標(biāo)準(zhǔn)。word完美格式專(zhuān)業(yè)資料x(chóng)ssfilterXssfilter往往是一個(gè)文本文件,里面包含了允許被用戶(hù)輸入提交的字符(也有些是包含不允許用戶(hù)提交的字符)。它檢測(cè)的點(diǎn)在于用戶(hù)輸入的時(shí)候,xssfilter分為白名單與黑名單,推薦使用白名單,但即使使用白名單還是無(wú)法完全杜絕xss問(wèn)題,并且使用不當(dāng)可能會(huì)帶來(lái)很高的誤報(bào)率。編碼轉(zhuǎn)義編碼

6、方式有很多,比如html編碼、url編碼、16進(jìn)制編碼、javascript編碼等。在處理用戶(hù)輸入時(shí),除了用xssfilter的方式過(guò)濾一些敏感字符外,還需要配合編碼,將一些敏感字符通過(guò)編碼的方式改變?cè)瓉?lái)的樣子,從而不能被瀏覽器當(dāng)成js代碼執(zhí)行。處理富文本有些網(wǎng)頁(yè)編輯器允許用戶(hù)提交一些自定義的html代碼,稱(chēng)之為”富文本”。想要在富文本處防御xss漏洞,最簡(jiǎn)單有效的方式就是控制用戶(hù)能使用的標(biāo)簽,限制為只能使用a、div等安全的標(biāo)簽。處理所有輸出類(lèi)型的xss漏洞xss漏洞本質(zhì)上是一種html注入,也就是將html代碼注入到網(wǎng)頁(yè)中。那么其防御的根本就是在將用戶(hù)提交的代碼顯示到頁(yè)

7、面上時(shí)做好一系列的過(guò)濾與轉(zhuǎn)義。其他修復(fù)方案1)?開(kāi)發(fā)者應(yīng)該嚴(yán)格按照openid和openkey的校驗(yàn)規(guī)則判斷openid和openkey是否合法,且判斷其它參數(shù)的合法性,不合法不返回任何內(nèi)容。2)?嚴(yán)格限制URL參數(shù)輸入值的格式,不能包含不必要的特殊字符(%0d、%0a、%0D、%0A等)。3)?針對(duì)ASP.NET的防XSS庫(kù),Microsoft有提供統(tǒng)一的庫(kù),具體可以參見(jiàn)如下鏈接微軟官網(wǎng):http://msdn.microsoft.com/en-us/library/aa973813.aspx4)?具體的js方法

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫(huà)的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無(wú)此問(wèn)題,請(qǐng)放心下載。
2. 本文檔由用戶(hù)上傳,版權(quán)歸屬用戶(hù),天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無(wú)法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶(hù)請(qǐng)聯(lián)系客服處理。