Web入侵安全测试与对策
从web客户端进行测试需要考虑的特殊问题:
1、恶意的用户可以篡改客户机上的数据——一切皆有可能
结论:在没有得到服务器端对数据的双重认证时,不要在客户端执行重要的运算和验证。
2、来自web客户机的全部数据流都需要被歧视为不可信赖的,并且对其进行验证——信任来自认可
结论:来自客户机的所有数据都需要被仔细验证。
3、用户对客户端的所有代码都有访问权限——我的地盘我做主
4、客户机可以发现一些服务器运行的细节——细节决定成败
网络:
连接客户机和服务器端的网络是不可信的,采用明文传输的web数据流可能会被截获或篡改。
不要信任任何客户机,不要信任任何网络,重要的操作都要放在服务器端执行。