freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

bs架構(gòu)體系安全滲透測(cè)試基礎(chǔ)-文庫(kù)吧資料

2025-01-30 08:54本頁(yè)面
  

【正文】 當(dāng) Web應(yīng)用程序發(fā)生錯(cuò)誤時(shí),如果處理不得當(dāng),可能會(huì)把相關(guān)的錯(cuò)誤信息反饋至客戶瀏覽器?!?,”‘” ,” ” ,” %” ,” 0x” ,” =!*/()|” ,和”空格” ). 2. 屏蔽出錯(cuò)信息:阻止攻擊者知道攻擊的結(jié)果 3. 在服務(wù)端正式處理之前提交數(shù)據(jù)的合法性 (合法性檢查主要包括三項(xiàng) :數(shù)據(jù)類型 ,數(shù)據(jù)長(zhǎng)度 ,敏感字符的校驗(yàn) )進(jìn)行檢查等。 ? 通過(guò)這個(gè)例子,我們可以看出,注入缺陷是風(fēng)險(xiǎn)非常高的安全漏洞,一旦 Web 應(yīng)用中給用戶提供了需要其輸入數(shù)據(jù)的接口,就有可能遭到攻擊,將后臺(tái)的數(shù)據(jù)完全暴露在用戶的面前。 ? 2) 在界面上,需要用戶輸入產(chǎn)品 ID 的地方,黑客會(huì)輸入如下數(shù)據(jù): ` or `1`= `1 可以看到,黑客并沒(méi)有輸入正常合法的產(chǎn)品編號(hào)。開發(fā)人員在編寫應(yīng)用程序時(shí),可能會(huì)使用如下的 SQL 語(yǔ)句來(lái)實(shí)現(xiàn)上述目的(這里僅為示例): 索迪教育 IT成就人生 ? 1)Select * from products where product_id = ` + 用戶輸入的 ID + ` 這里的 products 是數(shù)據(jù)庫(kù)中用來(lái)存放產(chǎn)品信息的表,+號(hào)表示 SQL 語(yǔ)句需要和用戶輸入的真實(shí) ID 進(jìn)行拼接。在一個(gè)交易網(wǎng)站中,用戶必須輸入產(chǎn)品 ID 號(hào)才可以查看該產(chǎn)品的詳細(xì)信息。 ? 所謂注入缺陷,就是在上述場(chǎng)景中,用戶輸入的數(shù)據(jù)被當(dāng)做命令和查詢的一部分,送到后端的解釋器中解釋執(zhí)行。 ? 比如一個(gè)在線銀行,首先會(huì)有對(duì)注冊(cè)客戶進(jìn)行身份驗(yàn)證的登錄界面,在正確登錄后,會(huì)提供更多交互功能,如根據(jù)客戶的銀行卡號(hào)信息,查詢客戶的最近交易、轉(zhuǎn)賬細(xì)節(jié)等。 2. 執(zhí)行測(cè)試過(guò)程中也應(yīng)對(duì)上述項(xiàng)進(jìn)行檢查。 索迪教育 IT成就人生 XSS攻擊示例 索迪教育 IT成就人生 如何預(yù)防 XSS漏洞 ? 從應(yīng)用程序的角度來(lái)講 ,要進(jìn)行以下幾項(xiàng)預(yù)防 : 1. 對(duì) Javascrīpt,VB scrīpt, HTML, Flash等語(yǔ)句或腳本進(jìn)行轉(zhuǎn)義 . 2. 在服務(wù)端正式處理之前提交數(shù)據(jù)的合法性 (合法性檢查主要包括三項(xiàng) :數(shù)據(jù)類型 ,數(shù)據(jù)長(zhǎng)度 ,敏感字符的校驗(yàn) )進(jìn)行檢查等。 ? 試想如果我們注入的不是以上這個(gè)簡(jiǎn)單的測(cè)試代碼,而是一段經(jīng)常精心設(shè)計(jì)的惡意腳本,當(dāng)用戶瀏覽此帖時(shí), cookie信息就可能成功的被攻擊者獲取。 ? 舉例來(lái)說(shuō),首先 ,找到帶有參數(shù)傳遞的 URL,如登錄頁(yè)面 ,搜索頁(yè)面 ,提交評(píng)論 ,發(fā)表留言頁(yè)面等等。在這兩種方法中,用盡可能多的方式檢查對(duì)應(yīng)用程序的每個(gè)輸入(所有腳本的參數(shù)、 HTTP 頭、路徑)。 索迪教育 IT成就人生 檢查您的站點(diǎn)是否處于 XSS 攻擊保護(hù)的方法 ? 檢查站點(diǎn)的確安全也可以通過(guò)手工完成(硬方法),或利用自動(dòng)的 Web 應(yīng)用程序安全漏洞評(píng)估工具 (如 appscan),它減輕了檢查的負(fù)擔(dān)。黑客們?nèi)绻梢宰層脩魣?zhí)行他們提供的腳本,就可以從用戶正在瀏覽的域中偷到他的個(gè)人信息、可以完全修改用戶看到的頁(yè)面內(nèi)容、跟蹤用戶在瀏覽器中的每一個(gè)動(dòng)作,甚至利用用戶瀏覽器的缺陷完全控制用戶的機(jī)器。 索迪教育 IT成就人生 ? 在上圖中,惡意攻擊者(這里使用 表示)通過(guò) Email 或 HTTP 將某銀行的網(wǎng)址鏈接發(fā)給用戶(銀行用 表示),該鏈接中附加了惡意的腳本(上圖步驟一); ? 用戶訪問(wèn)發(fā)來(lái)的鏈接,進(jìn)入銀行網(wǎng)站,同時(shí),嵌在鏈接中的腳本被用戶的瀏覽器執(zhí)行(上圖步驟二、三); ? 用戶在銀行網(wǎng)站的所有操作,包括用戶的 cookie 和 session 信息,都被腳本收集到,并且在用戶毫不知情的情況下發(fā)送給惡意攻擊者(上圖步驟四); ? 惡意攻擊者使用偷來(lái)的 session 信息,偽裝成該用戶,進(jìn)入銀行網(wǎng)站,進(jìn)行非法活動(dòng)(上圖步驟五)。只有加強(qiáng) Web 應(yīng)用自身的安全,才是真正的 Web 應(yīng)用安全解決之道。這里需要注意的是, Web 應(yīng)用是由軟件構(gòu)成的,那么,它一定會(huì)包含缺陷( bugs),這些 bug 就可以被惡意的用戶利用,他們通過(guò)執(zhí)行各種惡意的操作,或者偷竊、或者操控、或者破壞 Web 應(yīng)用中的重要信息。 索迪教育 IT成就人生
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1