freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

bs架構(gòu)體系安全滲透測(cè)試基礎(chǔ)(已修改)

2025-02-03 08:54 本頁面
 

【正文】 B/S架構(gòu)體系安全滲透測(cè)試基礎(chǔ) 質(zhì)量保證部 朱晟 索迪教育 IT成就人生 內(nèi)容概要 ? 前言 ? 當(dāng)今世界, Inter(因特網(wǎng))已經(jīng)成為一個(gè)非常重要的基礎(chǔ)平臺(tái),很多企業(yè)都將應(yīng)用架設(shè)在該平臺(tái)上,為客戶提供更為方便、快捷的服務(wù)支持。這些應(yīng)用在功能和性能上,都在不斷的完善和提高,然而在非常重要的安全性上,卻沒有得到足夠的重視。由于網(wǎng)絡(luò)技術(shù)日趨成熟,黑客們也將注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì) Web 應(yīng)用的攻擊上。根據(jù)最新調(diào)查,信息安全攻擊有 75% 都是發(fā)生在 Web 應(yīng)用而非網(wǎng)絡(luò)層面上。同時(shí),數(shù)據(jù)也顯示,三分之二的 Web 站點(diǎn)都相當(dāng)脆弱,易受攻擊。 ? 就公司以前 WEB項(xiàng)目外部應(yīng)用的現(xiàn)狀: 90%的網(wǎng)站都受到過類似SQL注入等黑客的攻擊。 索迪教育 IT成就人生 管理部分內(nèi)容索引 ? B/S架構(gòu)常見安全問題 索迪教育 IT成就人生 B/S架構(gòu)常見安全問題 ? 當(dāng)討論起 Web 應(yīng)用安全,我們經(jīng)常會(huì)聽到這樣的回答: “我們使用了防火墻”、“我們使用了網(wǎng)絡(luò)脆弱掃描工具”、“我們使用了 SSL 技術(shù)” …… 所以,“我們的應(yīng)用是安全的”?,F(xiàn)實(shí)真是如此嗎?讓我們一起來看一下 Web 應(yīng)用安全的全景圖。 索迪教育 IT成就人生 為何要進(jìn)行安全測(cè)試 ? 但是,即便有防病毒保護(hù)、防火墻和 SSL,企業(yè)仍然不得不允許一部分的通訊經(jīng)過防火墻,畢竟 Web 應(yīng)用的目的是為用戶提供服務(wù),保護(hù)措施可以關(guān)閉不必要暴露的端口,但是 Web 應(yīng)用必須的 80 和 443 端口,是一定要開放的??梢皂樌ㄟ^的這部分通訊,可能是善意的,也可能是惡意的,很難辨別。這里需要注意的是, Web 應(yīng)用是由軟件構(gòu)成的,那么,它一定會(huì)包含缺陷( bugs),這些 bug 就可以被惡意的用戶利用,他們通過執(zhí)行各種惡意的操作,或者偷竊、或者操控、或者破壞 Web 應(yīng)用中的重要信息。 ? 只要訪問可以順利通過企業(yè)的防火墻, Web 應(yīng)用就毫無保留的呈現(xiàn)在用戶面前。只有加強(qiáng) Web 應(yīng)用自身的安全,才是真正的 Web 應(yīng)用安全解決之道。 索迪教育 IT成就人生 風(fēng)險(xiǎn)性較高的攻擊方法 ? “跨站點(diǎn)腳本攻擊”和“注入缺陷攻擊”,是目前 Web 應(yīng)用中比例最高的兩種攻擊手段,還有如下八種風(fēng)險(xiǎn)性較高的攻擊方法: ? Malicious File Execution(惡意文件執(zhí)行); ? Insecure Direct Object Reference(不安全的直接對(duì)象引用); ? CrossSite Request Fery(跨站點(diǎn)的請(qǐng)求偽造); ? Information Leakage and Improper Error Handling(信息泄漏和不正確的錯(cuò)誤處理); ? Broken Authentication Session Management(損壞的認(rèn)證和 Session 管理); ? Insecure Cryptographic Storage(不安全的密碼存儲(chǔ)); ? Insecure Communications(不安全的通信); ? Failure to Restrict URL Access(未能限制 URL 訪問) ? 在這里,我簡(jiǎn)單介紹下這些缺陷 索迪教育 IT成就人生 常見的 Web 應(yīng)用攻擊示例 ? 跨站點(diǎn)腳本攻擊 ( crosssite scrīpting,簡(jiǎn)稱 XSS), ? 首先來看一下跨站點(diǎn)腳本的利用過程,如圖 。 索迪教育 IT成就人生 ? 在上圖中,惡意攻擊者(這里使用 表示)通過 Email 或 HTTP 將某銀行的網(wǎng)址鏈接發(fā)給用戶(銀行用 表示),該鏈接中附加了惡意的腳本(上圖步驟一); ? 用戶訪問發(fā)來的鏈接,進(jìn)入銀行網(wǎng)站,同時(shí),嵌在鏈接中的腳本被用戶的瀏覽器執(zhí)行(上圖步驟二、三); ? 用戶在銀行網(wǎng)站的所有操作,包括用戶的 cookie 和 session 信息,都被腳本收集到,并且在用戶毫不知情的情況下發(fā)送給惡意攻擊者(上圖步驟四); ? 惡意攻擊者使用偷來的 session 信息,偽裝成該用戶,進(jìn)入銀行網(wǎng)站,進(jìn)行非法活動(dòng)(上
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
公安備案圖鄂ICP備17016276號(hào)-1