<address id="njlhv"><address id="njlhv"><listing id="njlhv"></listing></address></address>

      鄭州北大青鳥學員喜獲全國IT精英挑戰賽冠軍

      我們教學怎么樣

      • 實力見證
      • 網絡組一等獎
      • 網絡組二等獎
      • 軟件組四等獎
      • 200家校區脫穎而出!
      了解更多>
      北大青鳥榮獲315重承諾守信用放心品牌

      北大青鳥職業IT20周年

      • 重承諾
      • 守信用
      • 放心品牌
      • 放心學習
      • 靠靠譜譜好就業!
      了解更多>
      學IT好工作高薪就業

      我命由我不由天

      • 學個性的技術
      • 做愛做的事
      • 掙滿意的錢
      • 衣食無憂
      • 選擇寬且高大尚!
      了解更多>
      鄭州北大青鳥IT培訓辦學13年

      我們靠不靠譜

      • 13年辦學
      • 13年磨練
      • 13年成長
      • 13年探索
      • 只為讓每個學員成材!
      了解更多>
      鄭州北大青鳥IT培訓

      不打工也牛掰

      • 好工作
      • 好環境
      • 高薪資
      • 好課程
      • 支持你成為有“錢”人!
      了解更多>

      2018年翔天信鴿再創輝煌

      • 青鳥之星教學質量大獎
      • 卓越風云人物
      • 北大青鳥中心理事會成員
      • 是對鄭州翔天信鴿肯定也是鞭策!
      了解詳情>

      學IT就讀北大青鳥

      • 好工作
      • 好未來
      • 好老師
      • 好課程
      • 支持你成為受人尊敬的人!
      了解更多>
      常見的五個Web應用漏洞介紹與其解決方法
      作者:北大青鳥 添加時間:09-07 瀏覽次數:0

             本文介紹了5個最常見的Web應用漏洞,以及企業該如何修復初級問題,對抗那些針對這些漏洞的攻擊。

       
         注入攻擊和跨站腳本攻擊
       
         Web應用主要有2種最常見的嚴重缺陷。首先是各種形式的注入攻擊,其中包括SQL、操作系統、電子郵件和LDAP注入,它們的攻擊方式都是在發給應用的命令或查詢中夾帶惡意數據。別有用心的數據可以讓應用執行一些惡意命令或訪問未授權數據。如果網站使用用戶數據生成SQL查詢,而不檢查用戶數據的合法性,那么攻擊者就可能執行SQL注入。這樣攻擊者就可以直接向數據庫提交惡意SQL查詢和傳輸命令。舉例來說,索尼的PlayStation數據庫就曾經遭遇過SQL注入攻擊,并植入未授權代碼。
       
         跨站腳本(XSS)攻擊會將客戶端腳本代碼(如JavaScript)注入到Web應用的輸出中,從而攻擊應用的用戶。只要訪問受攻擊的輸出或頁面,瀏覽器就會執行代碼,讓攻擊者劫持用戶會話,將用戶重定向到一個惡意站點或者破壞網頁顯示效果。XSS攻擊很可能出現在動態生成的頁面內容中,通常應用會接受用戶提供的數據而沒有正確驗證或轉碼。
       
        為了防御注入攻擊和XSS攻擊,應用程序應該配置為假定所有數據——無論是來自表單、URL、Cookie或應用的數據庫,都是不可信來源。要檢查所有處理用戶提供數據的代碼,保證它是有效的。驗證函數需要清理所有可能有惡意作用的字符或字符串,然后再將它傳給腳本和數據庫。要檢查輸入數據的類型、長度、格式和范圍。開發者應該使用現有的安全控制庫,如OWASP的企業安全API或微軟的反跨站腳本攻擊庫,而不要自行編寫驗證代碼。此外,一定要檢查所有從客戶端接受的值,進行過濾和編碼,然后再傳回給用戶。
       
         身份驗證和會話管理被攻破
       
         Web應用程序必須處理用戶驗證,并建立會話跟蹤每一個用戶請求,因為HTTP本身不具備這個功能。除非任何時候所有的身份驗證信息和會話身份標識都進行加密,保證不受其他缺陷(如XSS)的攻擊,否則攻擊者就有可能劫持一個激活的會話,偽裝成某個用戶的身份。如果一個攻擊者發現某個原始用戶未注銷的會話(路過攻擊),那么所有帳號管理功能和事務都必須重新驗證,即使用戶有一個有效的會話ID。此外,在重要的事務中還應該考慮使用雙因子身份驗證。
       
         為了發現身份驗證和會話管理問題,企業要以執行代碼檢查和滲透測試。開發者可以使用自動化代碼和漏洞掃描程序,發現潛在的安全問題。有一些地方通常需要特別注意,其中包括會話身份標識的處理方式和用戶修改用戶身份信息的方法。如果沒有預算購買商業版本,那么也可以使用許多開源和簡化版本軟件,它們可以發現一些需要更仔細檢查的代碼或進程。
       
         不安全的直接對象引用
       
         這是應用設計不當引起的另一個缺陷,它的根源是錯誤地假定用戶總是會遵循應用程序的規則。例如,如果用戶的帳號ID顯示在頁面的URL或隱藏域中,惡意用戶可能會猜測其他用戶的ID,然后再次提交請求訪問他們的數據,特別是當ID值是可以猜測的時候。防止這種漏洞的最佳方法是使用隨機、不可猜測的ID、文件名和對象名,而且不要暴露對象的真實名稱。常見的錯誤暴露數據的位置是URL和超鏈接、隱藏表單域、ASP.NET的未保護視圖狀態、直接列表框、JavaScript代碼和客戶端對象(如Java Applet)。每次訪問敏感文件或內容時,都要驗證訪問數據的用戶已獲得授權。
       
         安全性配置不當
       
         支持Web應用程序的基礎架構包含各種各樣的設備和軟件——服務器、防火墻、數據庫、操作系統和應用軟件。所有這些元素都必須正確配置和保證安全,應用程序只是運行在最低權限配置上,但是許多系統本身還不夠安全。系統管理不當的一個主要原因是Web應用程序管理人員和基礎架構支持人員從未接受過必要的培訓。
       
         為執行日常網絡應用管理的人員提供足夠的培訓和資源,這是在開發過程中所有階段保證安全性和保密性的重要條件。最后,要為Web應用程序安排一個滲透測試,處理所有敏感數據。這是一種主動評估應用抵抗攻擊能力的方法,可以在受到攻擊前發現系統漏洞。
       
         結束語
       
         一直以來,這5種常見的Web應用漏洞都是IT安全的痛處。它們并不是新漏洞  撬 嵌濟揮薪餼觶 諶嗣嵌訵eb應用安全有足夠認識之前,攻擊者仍然會想盡辦法繼續利用這些缺陷發起偷盜、欺騙和網絡間諜等攻擊。

      本文由站河南北大青鳥校區整編而成,如需了解更多IT資訊類的文章、新聞、課程和學習技巧、就業案例、招生詳情等問題,可以對在線咨詢老師進行一對一問答!


      分享到:
      顶呱呱彩票顶呱呱彩票官网顶呱呱彩票平台顶呱呱彩票app顶呱呱彩票邀请码顶呱呱彩票娱乐顶呱呱彩票快3顶呱呱彩票时时彩顶呱呱彩票走势图顶呱呱彩票ios