WEB 学习笔记第一天

第一章Web应用程序安全与风险

WEB漏洞影响比例

不完善的身份验证措施

不完善的访问控制措施

SQL注入

跨站点脚本

信息泄露

第二章 核心防御机制

WEB的防御机制的核心因素

处理用户访问WEB的数据与功能,防止用户获得未授权访问

多数web程序使用三层相互关联的安全机制处理用户访问

身份验证:用户名和密码方式,环节存在很多漏洞容易被入侵,所以此环节很薄弱

会话管理(验证完用户名和密码后的每一次网络请求都需要重新验证身份,一般用令牌字符串来控制)

访问控制

处理用户对web的输入,防止错误的输入造成不良行为

处理用户输入的方法:

拒绝已知不良输入:过滤黑名单

接受已知正常输入:过滤白名单,一刀切方式虽然有效,但并不是万能办法,因为有时也需要接受一定的数据,例如人的姓名包括撇号,有可能会遭到攻击,但是数据库支持实名认证。就矛盾了

净化:去除掉不正常的输入

安全数据处理:不用处理用户提交的数据,绝对安全的方式来处理数据

语法检查:恶意的输入与正常的输入一致 但动机不同,需要确认所提交的账号,属于之前提交该账号的用户

边界确认

?前面仅在客户端做处理,边界是客户到服务器后,在服务器边的一种处理

多步确认与规范化

仅一次的净化,可能引起攻击者设计专门的输入,例如:

<src<script>ipt>

无法递归的查询,导致表达式又合到了一起

处理攻击者

处理错误

别让一个错误,导致程序崩溃

维护审计日志

向管理员发出警告

若果发现一些反常事件,要向管理员发出警告

例如:

应用反常:单独的IP发出大量的请求

交易反常:单独账户转入出大量金额

包含已知攻击者字符串

请求中普通用户无法查看数据被修改

应对攻击

对潜在的攻击,

管理应用程序本身,帮助管理员监控行为、配置其功能

 

 

第一章Web应用程序安全与风险

WEB漏洞影响比例

不完善的身份验证措施

不完善的访问控制措施

SQL注入

跨站点脚本

信息泄露

第二章 核心防御机制

WEB的防御机制的核心因素

处理用户访问WEB的数据与功能,防止用户获得未授权访问

多数web程序使用三层相互关联的安全机制处理用户访问

身份验证:用户名和密码方式,环节存在很多漏洞容易被入侵,所以此环节很薄弱

会话管理(验证完用户名和密码后的每一次网络请求都需要重新验证身份,一般用令牌字符串来控制)

访问控制

处理用户对web的输入,防止错误的输入造成不良行为

处理用户输入的方法:

拒绝已知不良输入:过滤黑名单

接受已知正常输入:过滤白名单,一刀切方式虽然有效,但并不是万能办法,因为有时也需要接受一定的数据,例如人的姓名包括撇号,有可能会遭到攻击,但是数据库支持实名认证。就矛盾了

净化:去除掉不正常的输入

安全数据处理:不用处理用户提交的数据,绝对安全的方式来处理数据

语法检查:恶意的输入与正常的输入一致 但动机不同,需要确认所提交的账号,属于之前提交该账号的用户

边界确认

?前面仅在客户端做处理,边界是客户到服务器后,在服务器边的一种处理

多步确认与规范化

仅一次的净化,可能引起攻击者设计专门的输入,例如:

<src<script>ipt>

无法递归的查询,导致表达式又合到了一起

处理攻击者

处理错误

别让一个错误,导致程序崩溃

维护审计日志

向管理员发出警告

若果发现一些反常事件,要向管理员发出警告

例如:

应用反常:单独的IP发出大量的请求

交易反常:单独账户转入出大量金额

包含已知攻击者字符串

请求中普通用户无法查看数据被修改

应对攻击

对潜在的攻击,

管理应用程序本身,帮助管理员监控行为、配置其功能

 

 

©️2020 CSDN 皮肤主题: 大白 设计师: CSDN官方博客 返回首页
实付0元
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值