中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

網(wǎng)站建設(shè)核心防御機(jī)制

2015-02-10    分類: 網(wǎng)站建設(shè)

Web應(yīng)用程序的基本安全問(wèn)題(所有用戶輸軸入都不可信)致使應(yīng)用程序?qū)嵤┐罅堪灿爸苼?lái)抵攻擊。盡管其設(shè)計(jì)細(xì)節(jié)與執(zhí)行效率可能千差萬(wàn)別,但幾子所有應(yīng)用程序的安全機(jī)制在概念上都具有相似性。

Web應(yīng)用程序采用的防每機(jī)制由以下幾個(gè)核心因素構(gòu)成。

口處理用戶詩(shī)問(wèn)應(yīng)用程序的數(shù)據(jù)與功能,防止用戶獲得未權(quán)訪問(wèn)。

口處理用戶對(duì)應(yīng)用程序功能的輸人,防止錯(cuò)誤驗(yàn)人造成不良行為。

口防范攻擊者,確保應(yīng)用程序在成為直接攻擊日標(biāo)時(shí)能夠正常運(yùn)轉(zhuǎn),并采取適當(dāng)?shù)姆烂颗c攻擊描施推敗攻擊者。

口管理應(yīng)用程序本身,幫助管理員監(jiān)控其行為,配置其功能

鑒于它們?cè)诮鉀Q核心安全問(wèn)題過(guò)程中所發(fā)揮的重要作用,一個(gè)典型應(yīng)用程序的絕大多數(shù)受政擊面也由這些機(jī)制構(gòu)成。知已知彼是戰(zhàn)爭(zhēng)的首要法則,那么防攻擊者向應(yīng)用程序發(fā)動(dòng)有如擊的重要前提是徹底了解這些機(jī)制。無(wú)論讀者在透測(cè)試方面是否有經(jīng)驗(yàn),都應(yīng)花時(shí)間了解過(guò)核心機(jī)制在遇到的每一種應(yīng)用程序中的工作原理,并確定使其易于受到攻擊的弱點(diǎn)。

1、處理用戶訪問(wèn)

幾乎任何應(yīng)用程序都必須滿足一個(gè)中心安全要求,即處理用戶訪問(wèn)其數(shù)據(jù)與功能。在通含情況下,用戶一般分為幾種類型,如置名用戶、正常通過(guò)驗(yàn)證的用戶和管理用戶。面且,許多情況下,不同的用戶只允許訪問(wèn)不同的數(shù)據(jù),例如,Web郵件應(yīng)用程序的用戶只能閱讀自己的面他人的電子郵件。

大多數(shù)Web應(yīng)用程序使用三層相互關(guān)聯(lián)的安全機(jī)制處理用戶訪問(wèn):

口身份驗(yàn)證;

口會(huì)話管理

口訪問(wèn)控制。

上述每一個(gè)機(jī)制都是應(yīng)用程序受攻擊面的一個(gè)關(guān)鍵部分,對(duì)于應(yīng)用程序的總體安全狀況極其重要。由于這些機(jī)制相互依賴,因此根本不能提供強(qiáng)大的總體安全保護(hù),任何一個(gè)部分存在缺陷都可使攻擊者自由訪問(wèn)應(yīng)用程序的功能與數(shù)據(jù)。

2、處理用戶輸入

所有用戶輸入都不可信。大量針對(duì)Web應(yīng)用程序的不同攻擊都與提交錯(cuò)誤輸入有關(guān),攻擊者專門(mén)設(shè)計(jì)這類輸入,以引發(fā)應(yīng)用程序設(shè)計(jì)者無(wú)法預(yù)料的行為。因此,能夠安全處理用戶輸入是對(duì)應(yīng)程序安全防御的一個(gè)關(guān)鍵要求。

應(yīng)用程序每一項(xiàng)功能以及幾乎每一種常用的技術(shù)都可能出現(xiàn)輸入方面的漏洞。通常來(lái)說(shuō),輸入確認(rèn)是防御這些攻擊的必要手段。然后,任何一種保護(hù)機(jī)制都不是萬(wàn)能的,防御惡意輸入也并非如聽(tīng)起來(lái)那樣簡(jiǎn)單。

3、處理攻擊者

任何設(shè)計(jì)安全應(yīng)用程序的開(kāi)發(fā)人員必須基于這樣一個(gè)假設(shè):應(yīng)用程序?qū)⒊蔀樾钜馄茐那医?jīng)驗(yàn)豐富的攻擊者的直接攻擊目標(biāo)。能夠以受控的方式處理并應(yīng)對(duì)這些攻擊,是應(yīng)用程序安全機(jī)制的一項(xiàng)主要功能。這些機(jī)制通常結(jié)合使用一系列防御與攻擊措施,以盡可能地阻止攻擊者,并就所發(fā)生的事件,通知應(yīng)用程序所有者以及提供相應(yīng)的證據(jù)。為處理攻擊者而采取的措施一般由以下任務(wù)組成:

口處理錯(cuò)誤;

口維護(hù)審計(jì)日志;

口向管理員發(fā)出警報(bào);

口應(yīng)對(duì)攻擊。

盡管存在巨大差異,但幾乎所有的Web應(yīng)用程序都以某種形式采用相同的核心安全機(jī)制。這些機(jī)制是應(yīng)用程序應(yīng)對(duì)惡意用戶所采取的主要防御措施,因而應(yīng)用程序的受攻擊面大部分也由它們構(gòu)成。我們?cè)诒緯?shū)后面介紹的漏洞也主要源于這些核心機(jī)制中存在的缺陷。在這些機(jī)制中,處理用戶訪問(wèn)和用戶輸人的機(jī)制是最重要的機(jī)制。當(dāng)針對(duì)應(yīng)用程序發(fā)動(dòng)攻擊時(shí),它們將成為主要攻擊對(duì)象。利用這些機(jī)制中存在的缺陷通??梢酝耆テ普麄€(gè)應(yīng)用程序,使攻擊者能夠訪問(wèn)其他用戶的數(shù)據(jù)、執(zhí)行未授權(quán)操作以及注入任意代碼和命令。

網(wǎng)站欄目:網(wǎng)站建設(shè)核心防御機(jī)制
文章網(wǎng)址:http://m.rwnh.cn/news2/16852.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站維護(hù)、外貿(mào)建站、網(wǎng)站排名、品牌網(wǎng)站建設(shè)品牌網(wǎng)站制作、營(yíng)銷型網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

網(wǎng)站優(yōu)化排名
阿瓦提县| 沛县| 信丰县| 宿迁市| 柳州市| 关岭| 东安县| 同仁县| 安化县| 乾安县| 临城县| 福州市| 平山县| 建始县| 砚山县| 五大连池市| 噶尔县| 思茅市| 时尚| 普安县| 建水县| 广西| 祁阳县| 古浪县| 灵丘县| 信阳市| 合山市| 布拖县| 民丰县| 中卫市| 明溪县| 全州县| 仁布县| 广安市| 会东县| 高台县| 长寿区| 阿鲁科尔沁旗| 高阳县| 龙陵县| 平潭县|