处理用户访问
1.1身份验证
1.2会话管理
1.3访问控制
处理用户输出
2.1输出的多样性
2.2输入的处理方法
2.3 边界确认
处理攻击者
3.1处理错误
3.2维护审计日志
3.3发出警报
3.4应对攻击
前言
一、处理用户访问
1.身份验证
主要是用户加密码的验证方式,攻击者可以利用逻辑缺陷绕过密码或者暴力破解密码,与身份验证有关功能存在非法访问敏感数据的功能。
2.会话管理
web应用程序会对每一个用户建立会话,并发放令牌,令牌常见方式有隐藏表单字段(hidden form field)或URL查询字符串传送(token)以及cookie方式。
对于攻击者而言,令牌被攻破,就可以伪装成被攻破的用户,获得被攻破用户的访问权限。
3.访问控制
很多路径文件未进行访问权限设置,使得攻击者可以查看一些隐秘的文件,进行进一步的攻击
二、处理用户输入
1.输入多样性
输入含有大量未被识别的字符串,很多输出的字符串会被利用,进行注入型攻击
2.处理输入的方法
拒绝已知的不良输入,比如SLECT被阻止,使用Select
接受已知的正常输入,设定白名单,但是白名单的设置逻辑上会存在漏洞,比如有些人的姓名包含、/等
净化,比如在危险字符植入应用程序转化成HTML编码,这是防跨站点脚本攻击的主要方法
安全数据处理,使用更安全的方法处理用户数据,简单来说就是从代码层面解决问题,比如在访问数据库时使用参数化查询,避免sql注入
语法检查,
3.边界确认
就是系统的每一个组件都将其输入当做含有恶意数据的输入来对待
三、处理攻击者
1.处理错误提示信息
攻击者可以利用程序报错信息,从程序获得敏感信息,比如sql版本,http版本
2.维护审计日志
日志会记录很多攻击的攻击信息,但是一般攻击者都会删除攻击痕迹
3.设置报警功能
应用反常,收到单一IP的大量请求
交易异常,账户转入转出异常
请求包含攻击注入类字符串
请求中普通用户无法查看的数据被修改
四.管理应用程序
身份验证程序太薄弱
管理功能未覆盖全访问控制
用户提交的数据未加密,用户点击了跨站点脚本,用户信息就会被盗取
管理功能可以处理危险的操作,访问磁盘文件或者使用操作系统命令,管理功能被攻破,使得攻击者可以渗透整个系统
总结
提示:这里对文章进行总结:
例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
