常見的五個Web應(yīng)用漏洞介紹與其解決方法

不僅僅統(tǒng)招學(xué)歷喲

熱門專業(yè)！
大學(xué)校園！
就業(yè)保障！
拿學(xué)歷又能高薪就業(yè)，誰能不愛！

了解詳情>

鄭州北大青鳥翔天信鴿參加“安心學(xué)習(xí)·放心就業(yè)”公約簽約儀式

讓每一個家庭“安心”、“放心”

教學(xué)為本
師愛為魂
安心學(xué)習(xí)
放心就業(yè)

了解詳情>

深耕細(xì)作IT職業(yè)教育15載

青鳥之星教學(xué)質(zhì)量大獎
卓越風(fēng)云人物
北大青鳥中心理事會成員
七項榮耀載譽而行！

了解詳情>

我們教學(xué)怎么樣

實力見證
網(wǎng)絡(luò)組一等獎
網(wǎng)絡(luò)組二等獎
軟件組四等獎
200家校區(qū)脫穎而出！

了解更多>

北大青鳥職業(yè)IT20周年

重承諾
守信用
放心品牌
放心學(xué)習(xí)
靠靠譜譜好就業(yè)！

了解更多>

我命由我不由天

學(xué)個性的技術(shù)
做愛做的事
掙滿意的錢
衣食無憂
選擇寬且高大尚！

了解更多>

我們靠不靠譜

14年辦學(xué)
14年磨練
14年成長
14年探索
只為讓每個學(xué)員成材！

了解更多>

不打工也牛掰

好工作
好環(huán)境
高薪資
好課程
支持你成為有“錢”人！

了解更多>

學(xué)IT就讀北大青鳥

好工作
好未來
好老師
好課程
支持你成為受人尊敬的人！

作者：北大青鳥添加時間：09-07 瀏覽次數(shù)：0

本文介紹了5個最常見的Web應(yīng)用漏洞，以及企業(yè)該如何修復(fù)初級問題，對抗那些針對這些漏洞的攻擊。

注入攻擊和跨站腳本攻擊

Web應(yīng)用主要有2種最常見的嚴(yán)重缺陷。首先是各種形式的注入攻擊，其中包括SQL、操作系統(tǒng)、電子郵件和LDAP注入，它們的攻擊方式都是在發(fā)給應(yīng)用的命令或查詢中夾帶惡意數(shù)據(jù)。別有用心的數(shù)據(jù)可以讓應(yīng)用執(zhí)行一些惡意命令或訪問未授權(quán)數(shù)據(jù)。如果網(wǎng)站使用用戶數(shù)據(jù)生成SQL查詢，而不檢查用戶數(shù)據(jù)的合法性，那么攻擊者就可能執(zhí)行SQL注入。這樣攻擊者就可以直接向數(shù)據(jù)庫提交惡意SQL查詢和傳輸命令。舉例來說，索尼的PlayStation數(shù)據(jù)庫就曾經(jīng)遭遇過SQL注入攻擊，并植入未授權(quán)代碼。

跨站腳本(XSS)攻擊會將客戶端腳本代碼(如JavaScript)注入到Web應(yīng)用的輸出中，從而攻擊應(yīng)用的用戶。只要訪問受攻擊的輸出或頁面，瀏覽器就會執(zhí)行代碼，讓攻擊者劫持用戶會話，將用戶重定向到一個惡意站點或者破壞網(wǎng)頁顯示效果。XSS攻擊很可能出現(xiàn)在動態(tài)生成的頁面內(nèi)容中，通常應(yīng)用會接受用戶提供的數(shù)據(jù)而沒有正確驗證或轉(zhuǎn)碼。

為了防御注入攻擊和XSS攻擊，應(yīng)用程序應(yīng)該配置為假定所有數(shù)據(jù)——無論是來自表單、URL、Cookie或應(yīng)用的數(shù)據(jù)庫，都是不可信來源。要檢查所有處理用戶提供數(shù)據(jù)的代碼，保證它是有效的。驗證函數(shù)需要清理所有可能有惡意作用的字符或字符串，然后再將它傳給腳本和數(shù)據(jù)庫。要檢查輸入數(shù)據(jù)的類型、長度、格式和范圍。開發(fā)者應(yīng)該使用現(xiàn)有的安全控制庫，如OWASP的企業(yè)安全API或微軟的反跨站腳本攻擊庫，而不要自行編寫驗證代碼。此外，一定要檢查所有從客戶端接受的值，進(jìn)行過濾和編碼，然后再傳回給用戶。

身份驗證和會話管理被攻破

Web應(yīng)用程序必須處理用戶驗證，并建立會話跟蹤每一個用戶請求，因為HTTP本身不具備這個功能。除非任何時候所有的身份驗證信息和會話身份標(biāo)識都進(jìn)行加密，保證不受其他缺陷(如XSS)的攻擊，否則攻擊者就有可能劫持一個激活的會話，偽裝成某個用戶的身份。如果一個攻擊者發(fā)現(xiàn)某個原始用戶未注銷的會話(路過攻擊)，那么所有帳號管理功能和事務(wù)都必須重新驗證，即使用戶有一個有效的會話ID。此外，在重要的事務(wù)中還應(yīng)該考慮使用雙因子身份驗證。

為了發(fā)現(xiàn)身份驗證和會話管理問題，企業(yè)要以執(zhí)行代碼檢查和滲透測試。開發(fā)者可以使用自動化代碼和漏洞掃描程序，發(fā)現(xiàn)潛在的安全問題。有一些地方通常需要特別注意，其中包括會話身份標(biāo)識的處理方式和用戶修改用戶身份信息的方法。如果沒有預(yù)算購買商業(yè)版本，那么也可以使用許多開源和簡化版本軟件，它們可以發(fā)現(xiàn)一些需要更仔細(xì)檢查的代碼或進(jìn)程。

不安全的直接對象引用

這是應(yīng)用設(shè)計不當(dāng)引起的另一個缺陷，它的根源是錯誤地假定用戶總是會遵循應(yīng)用程序的規(guī)則。例如，如果用戶的帳號ID顯示在頁面的URL或隱藏域中，惡意用戶可能會猜測其他用戶的ID，然后再次提交請求訪問他們的數(shù)據(jù)，特別是當(dāng)ID值是可以猜測的時候。防止這種漏洞的最佳方法是使用隨機(jī)、不可猜測的ID、文件名和對象名，而且不要暴露對象的真實名稱。常見的錯誤暴露數(shù)據(jù)的位置是URL和超鏈接、隱藏表單域、ASP.NET的未保護(hù)視圖狀態(tài)、直接列表框、JavaScript代碼和客戶端對象(如Java Applet)。每次訪問敏感文件或內(nèi)容時，都要驗證訪問數(shù)據(jù)的用戶已獲得授權(quán)。

安全性配置不當(dāng)

支持Web應(yīng)用程序的基礎(chǔ)架構(gòu)包含各種各樣的設(shè)備和軟件——服務(wù)器、防火墻、數(shù)據(jù)庫、操作系統(tǒng)和應(yīng)用軟件。所有這些元素都必須正確配置和保證安全，應(yīng)用程序只是運行在最低權(quán)限配置上，但是許多系統(tǒng)本身還不夠安全。系統(tǒng)管理不當(dāng)?shù)囊粋€主要原因是Web應(yīng)用程序管理人員和基礎(chǔ)架構(gòu)支持人員從未接受過必要的培訓(xùn)。

為執(zhí)行日常網(wǎng)絡(luò)應(yīng)用管理的人員提供足夠的培訓(xùn)和資源，這是在開發(fā)過程中所有階段保證安全性和保密性的重要條件。最后，要為Web應(yīng)用程序安排一個滲透測試，處理所有敏感數(shù)據(jù)。這是一種主動評估應(yīng)用抵抗攻擊能力的方法，可以在受到攻擊前發(fā)現(xiàn)系統(tǒng)漏洞。

結(jié)束語

一直以來，這5種常見的Web應(yīng)用漏洞都是IT安全的痛處。它們并不是新漏洞　　撬　嵌濟(jì)揮薪餼觶　諶嗣嵌訵eb應(yīng)用安全有足夠認(rèn)識之前，攻擊者仍然會想盡辦法繼續(xù)利用這些缺陷發(fā)起偷盜、欺騙和網(wǎng)絡(luò)間諜等攻擊。

本文由站河南北大青鳥校區(qū)整編而成，如需了解更多IT資訊類的文章、新聞、課程和學(xué)習(xí)技巧、就業(yè)案例、招生詳情等問題，可以對在線咨詢老師進(jìn)行一對一問答！