首页 爱情文章 亲情文章 友情文章 生活随笔 校园文章 经典文章 人生哲理 励志文章 搞笑文章 心情日记
  • 爱情文章
  • 亲情文章
  • 友情文章
  • 生活随笔
  • 校园文章
  • 经典文章
  • 人生哲理
  • 励志文章
  • 搞笑文章
  • 心情日记
  • 英语文章
  • 范文大全
  • 作文大全
  • 新闻阅读
    •
    当前位置: 山茶花美文网 > 范文大全 > 正文

    率土之滨策略攻击 [WEB应用脆弱性防止策略,常见的16种WEB攻击以及解决方案]

    时间:2020-03-29来源:山茶花美文网 本文已影响 山茶花美文网手机站

    事实上,WEB应用是很脆弱的。因为这种应用的灵活性很大,用户输入的自由度也很高,所以对于WEB应用的恶意攻击也比较容易。
    本文对常见的16种WEB攻击,给出了部分解决方案。
    1. SQL注入(SQL Injection)
    对于固定的SQL语句,一般在应用程序层不做处理,推荐添加一个包装类,把这些固定的SQL操作控制起来。
    而对于动态生成的SQL语句,就需要对用户的输入进行处理,一般的处理是把【"】转换成【“】 。
    如:
           abc”def”ghi’jkl’mno →abc”def”ghi’’jkl’’mno
    2. 跨站点脚本攻击(XSS,Cross Site Scripting)
    如果用户输入,URL参数在页面上表示时,必须对特殊文字进行过滤处理。
       2-1 如果用户输入和URL参数中含有下列敏感文字,则删除 之:
                               Script  Object Embed Applet
       2-2 如果用户输入和URL参数中含有下列敏感文字,则转换 之:
                &    →    &
               
                “     →    "
                ‘      →    "
    3. 操作系统命令注入(OS Command Injection)
      要尽量避免执行系统命令,如果非使用不可的话,要对以下的用户输入或者参数做处理:
            | ! & `      命令执行总要使用的字符
            “ ‘            字符串的区分字符
            / -            命令参数指定时使用的字符
            “. / ¥       目录指定时使用的字符
            < >          文件操作是使用的字符
            $             环境变量指定时使用的字符
            ( { [ ] } )   命令间的区分字符
    4. 换行字符注入(Line Feed Code Injection)
       在用户的输入信息中,检查是否不包含【0x0d】【0x0a】 这种换行的输入。
    5. LDAP注入(LDAP Injection)
       在LDAP使用的场合,要检查用户输入信息中,是否不包含下列LDAP的保留字:
        (    )     *    ¥    NULL
    6. Xpath注入(XPath Injection)
       在XPath使用的场合,要检查用户输入信息中,是否不包含下列Xpath的保留字:
            “    ‘    &
    7. SSI注入(SSI Injection)
        检查用户输入中,是否不包含SSI相关的危险关键字。
    8. 目录遍历(Directory Traversal)
        检查用户输入中,是否不包含访问文件系统的特殊文字【/】 和【】 。
    9. 强制浏览(Forced Browsing)
        这种攻击的防止比较复杂,一般的策略是:
     验证请求是否是从合法的页面发送而来的,一般是检查请求的Referer。
     用户授权控制,认证认可
       对于静态资源来说,WEB程序是无法防止这种强制浏览攻击的,只有通过设置中间件(如WEB服务器)来防止:
     对公开化网站目录的设定(比如在站点目录下禁止显示文件列表)
     在URL中指定目录的时候,必须提供index文件(如index.html等)
     对于下载文件的存放位置,要特别谨慎的设置
    10. 跨站点请求伪装(Cross Site Request Forgery)
        明确页面的操作流程,对于不符合操作流程而来的请求进行过滤。
    11. 不正确的文件和目录分配(Invalid Allocation of Files and Directories)
      不公开的配置文件,备份文件,数据文件等,不要在站点的公共目录(WebRoot或者www/htdocs)下存放
      WEB应用程序使用的库文件,不要再站点的公共目录下存放。
        适合在公共目录下存放的资源如下所示:
         /var/www/htdocs/
                            Img/
                            css/
                            data/
                            index.html
    12. 不正确的错误处理(Invalid Error Handling)
        一定要进行错误处理,错误处理的消息要显示为用户可理解的内容,不要把中间件(WEB服务器)的错误消息显示出来。
    13. 不必要的信息(Unnecessary Information)
        比如在用户登陆时,提示的这样的错误信息【用户密码不正确】,从侧面就说明了系统中存在一个叫做【userid】的用户。这就为恶意攻击者提供了情报。
        所以,在处理系统显示的消息是,点到为止,不能暴露多余的用户细节。
    14. 后门和调试选项(Backdoor & Debug Option)
        避免特殊的密码输入和认证策略
        指定调试选项是,调试选项和程序的参数都可以改变和查看
        要做出测试专用的页面
        对于程序后门,可以通过代码复查力度强化来进行防止。
        而对于调试选择,要统一开发标准,使用统一的调试开关。
    15. 客户端注释(Client Side Comment)
        对于WEB应用来说,客户端可以通过浏览器直接看到页面的代码。发送到浏览器的代码中,可以开发者的注释。对于恶意攻击者来说,这些注释信息会暴露出WEB应用的很多细节。
        比如说下面所说的注释就应该引起关注:
        对于请求参数的注释
        Javascript的内部逻辑的注释
        注释外的Javascript内部逻辑和URL请求
        对应策略如下:
        对于代码的注释,事先要有统一的代码规范
        尽量使用服务器端得注释标签,如JSP的【】,这样的注释内容不会发送到客户端。
    16. 缓冲区溢出(Buffer Over Flow)
        如果用户输入中包含了超过服务器缓冲区大小的输入,很可能会导致服务器存储不足,甚至导致服务器停机。
        对策如下:
        一定要检查用户输入的大小
        文件上传是,对于上传文件的大小进行检查和限制。

    • 率土之滨策略攻击 [WEB应用脆弱性防止策略,常见的16种WEB攻击以及解决方案] 相关文章:
    • 爱情文章
    • 亲情文章
    • 友情文章
    • 随笔
    • 哲理
    • 励志
    • 范文大全

    最新文章

    热点文章

    推荐访问

    军训远足心得体会 军训爬山心得体会 大学军训徒步拉练感想 军训徒步作文 军训徒步10公里感想 军训徒步心得体会 5分钟演讲中秋节节日 中秋一分钟演讲 中秋节演讲稿4分钟 中秋节演讲稿一分钟 中秋节演讲稿五分钟 3-5分钟 中秋节短篇演讲稿 中秋节演讲稿两分钟 中秋节的演讲稿3分钟 关于中秋节的演讲稿三分钟 孩子体验军训的心得 参加孩子军训活动的感受与收获 家长对孩子军训后的收获和感悟 小孩军训的收获与感悟 学生军训的收获与感悟 孩子军训成长过程家长感悟 孩子军训感悟 孩子军训心得体会 孩子军训的收获与感悟 兵役前训练心得体会 部队当兵的心得 新兵役前教育训练心得体会 预备役军训心得体会 新兵军训感悟

    本文率土之滨策略攻击 [WEB应用脆弱性防止策略,常见的16种WEB攻击以及解决方案] 由山茶花美文网整理提供,版权归原作者、原出处所有。

    Copyright © 山茶花美文网 All Rights Reserved.