freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

03網(wǎng)絡(luò)應(yīng)用安全檢測和防護(hù)-文庫吧

2024-12-25 07:18 本頁面


【正文】 據(jù)管理中心安全管理處 11 目錄 網(wǎng)站安全形勢 統(tǒng)計(jì)系統(tǒng)網(wǎng)站情況 網(wǎng)站安全檢測 網(wǎng)站安全防護(hù) 安全檢查工作 國家局網(wǎng)站安全檢查機(jī)制 2023/1/22 局?jǐn)?shù)據(jù)管理中心安全管理處 12 ? 聯(lián)網(wǎng)直報(bào)系統(tǒng) ? 國家局門戶網(wǎng)站 ? 司級網(wǎng)站 ? 省級、地市級統(tǒng)計(jì)局門戶網(wǎng)站 ? …… 網(wǎng)站列表 ? 每月 ? 每季度 ? 每半年 ? …… 檢查周期 ? 非報(bào)送期 ? 非工作時(shí)間 漏洞檢查 ? 跨站腳本 ? SQL注入 ? …… 漏洞確認(rèn) ? 《 安全事件通知書 》 ? 《 安全風(fēng)險(xiǎn)提示單 》 安全風(fēng)險(xiǎn)提示單 ? 整改結(jié)束之后進(jìn)行復(fù)測 復(fù)測 國家局檢查機(jī)制(上線前檢查) 2023/1/22 局?jǐn)?shù)據(jù)管理中心安全管理處 13 ? 以風(fēng)險(xiǎn)為導(dǎo)向 WEB遍歷 ?模擬黑客進(jìn)行無害的攻擊滲透 ? 通 過 各 類測 試 用 例對 網(wǎng) 站 進(jìn)行測試 ? 通過各類已知和未知木馬進(jìn)行檢測 深度 掃描 滲透 測試 黑盒 檢測 木馬 檢測 網(wǎng)站漏洞掃描幾種主要方法 掃描結(jié)果事例 2023/1/22 局?jǐn)?shù)據(jù)管理中心安全管理處 15 統(tǒng)計(jì)系統(tǒng)網(wǎng)站漏洞分布情況 2023/1/22 局?jǐn)?shù)據(jù)管理中心安全管理處 16 OWASP(開放式 Web應(yīng)用程序安全項(xiàng)目 )對注入漏洞的定義 2023/1/22 局?jǐn)?shù)據(jù)管理中心安全管理處 17 注入漏洞 Sql注入 ? SQl注入( SQL Injection)技術(shù)在國外最早出現(xiàn)在 1999年,我國在 2023年后開始大量出現(xiàn)。 ? SQL注入是針對一種數(shù)據(jù)庫而言的,而不是針對網(wǎng)頁語言。 ? 在任何使用了數(shù)據(jù)庫查詢環(huán)境下都可能存在 ? 造成 SQL注入攻擊漏洞的原因,是由于程序在編寫WEB程序時(shí),沒有對瀏覽器端提交的參數(shù)進(jìn)行嚴(yán)格的過濾和判斷。用戶可以修改構(gòu)造參數(shù),提交 SQL查詢語句,并傳遞至服務(wù)端,從而獲取想要的敏感信息,甚至執(zhí)行危險(xiǎn)的代碼或系統(tǒng)命令。 2023/1/22 局?jǐn)?shù)據(jù)管理中心安全管理處 18 – 在網(wǎng)站管理登錄頁面要求帳號密碼認(rèn)證時(shí),如果攻擊者在“ UserID” 輸入框內(nèi)輸入“ admin”,在密碼框里輸入“ anything’ or 1=’1’ ” – 提交頁面后,查詢的 SQL語句就變成了: Select from user where username=‘a(chǎn)dmin’ and password=’anything’ or 1=’1’ – 不難看出,由于“ 1=‘1’ ”是一個(gè)始終成立的條件,判斷返回為“真”,密碼的限制形同虛設(shè),不管用戶的密碼是不是 Anything,他都可以以 admin的身份遠(yuǎn)程登錄,獲得后臺管理權(quán),在網(wǎng)站上發(fā)布任何信息。 Sql注入攻擊舉例 Sql注入 ? 主要危害: ? [1]未經(jīng)授權(quán)狀況下操作數(shù)據(jù)庫中的數(shù)據(jù)。 ? [2]惡意篡改網(wǎng)頁內(nèi)容。 ? [3]私自添加系統(tǒng)帳號或者是數(shù)據(jù)庫使用者帳號。 ? [4]網(wǎng)頁掛馬。 ? [5]與其它漏洞結(jié)合,修改系統(tǒng)設(shè)置,查看系統(tǒng)文件,執(zhí)行系統(tǒng)命令等。 2023/1/22 局?jǐn)?shù)據(jù)管理中心安全管理處 20 解決方案 ? [1]所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口 ? [2]對進(jìn)入數(shù)據(jù)庫的特殊字符( ‘“\尖括號 *。等)進(jìn)行轉(zhuǎn)義處理,或編碼轉(zhuǎn)換; ? [3]嚴(yán)格限制變量類型 。 ? [4]數(shù)據(jù)長度應(yīng)該嚴(yán)格規(guī)定; ? [5]網(wǎng)站每個(gè)數(shù)據(jù)層的編碼統(tǒng)一; ? [6]嚴(yán)格限制網(wǎng)站用戶的數(shù)據(jù)庫的操作權(quán)限,給此用戶提供僅僅能夠滿足其工作的權(quán)限,從而最大限度的減少注入攻擊對數(shù)據(jù)庫的危害。 2023/1/22 局?jǐn)?shù)據(jù)管理中心安全管理處 21 解決方案 ? [7]避免網(wǎng)站顯示 SQL錯(cuò)誤信息,比如類型錯(cuò)誤、字段不匹配等,防止攻擊者利用這些錯(cuò)誤信息進(jìn)
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1