返回
外文翻译-web应用程序安全漏洞知识库初探

外文翻译-web应用程序安全漏洞知识库初探

ID:11831245

大小:480.50 KB

页数:20页

时间:2018-07-14

外文翻译-web应用程序安全漏洞知识库初探_第1页
外文翻译-web应用程序安全漏洞知识库初探_第2页
外文翻译-web应用程序安全漏洞知识库初探_第3页
外文翻译-web应用程序安全漏洞知识库初探_第4页
外文翻译-web应用程序安全漏洞知识库初探_第5页
资源描述:

《外文翻译-web应用程序安全漏洞知识库初探》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、1.外文资料翻译译文网络安全日志管理:以应用程序为中心的角度来看AndrewMwauraKahonge,WilliamOkello-Odongo,EvansK.Miriti,ElishaAbade计算机和信息学院大学内罗毕,肯尼亚内罗毕Email:andrew.mwaura@uonbi.ac.ke,wokelo@uonbi.ac.ke,eamiriti@uonbi.ac.ke,eabade@uonbi.ac.ke摘要:万维网是一个有许多安全威胁和大量的安全漏洞报告病例的环境。各种工具和技术,试图遏制这一问题得到了应用,但是新的攻击继续困扰互联网。我们

2、讨论影响的Web应用程序,并解释如何以网络为中心和以主机为中心的技术,不亚于他们在一个企业是至关重要的,缺乏必要的深度全面分析整个应用程序的安全隐患。Web应用程序跨多个服务器的特性引入的安全性要求一个新的层面,要求采取综合办法来保护信息资产,无论模块层的物理或逻辑隔离。因此,我们归类安全机制的基础上被担保资产是什么或者基础设施为中心或以应用为中心。然后,我们描述了这样的应用为中心的安全机制的要求。关键词:Web安全;互联网;应用程序为中心;基础设施为中心;网络中心;主机为中心;日志管理和监控1.简介随着互联网和Web技术的发展,很多服务现在提供给全

3、球用户。广泛的应用范围已经启动,从信息网站,社交网络,电子商务和软件即服务(SaaS)。如在上述这种增长可以归因于符合因特网大规模分布式超媒体系统的需求的网络应用程序的软件架构。是可能的整合并且相比于传统的桌面软件方式在网络更容易建立更多的应用程序和组件。除了互联网应用这一成功浪潮,很多漏洞被发现和开采确实迫使服务供应商将继续投入精力和资源的大量监测和含有违规行为。攻击的例子包括黑客Web服务器或Web服务器本身固有的弱点上开发的Web应用程序运行的不正确编码标准[2]。要在确保这种系统中提前一个步骤是重要的。几种方法已经被开发,包括安全审计方法和安

4、全架构,以提高检测和预防风险的。方法如安装智能防火墙,安全端到端通过虚拟专用网络和安全套接字层的通信已被用于提高安全性和确实已采用几种类型的web应用程序。另外,在同一个事实,即电子记录,例如电脑和网络日志被视为在数字取证[3-5]中最重要的数据,监控工具和技术线已被广泛使用,包括交易数据,例如系统日志,数据库的记录日志和Web服务器日志,以及使用智能日志监控和分析软件。然而,所有这些方法和努力都无法保证保存系统安全或者注意到他们的企图。在信息安全的三大原则;保密性,完整性和可用性,保护信息资产十一尺寸由[6]绘制。这些尺寸的想法是,在所有的尺寸用于

5、提高安全性一个全面的方法是必要的。具体地,其中的两个维度正在监视在其中执行的系统和相应的操作的观察和评估。监测的第一维也被提到[7]是信息安全的Web应用程序特别重要的支柱,其中通过日志文件分析监视Web服务器,数据库服务器和身份验证服务器。我们解释了影响Web应用程序的风险和记录的重要性,并就监控而言日志分析。然后,我们给到其中实现安全性的以前的努力先前已聚焦的安全机制分类的汇总。最后,我们提出一个新的分类,旨在提供实施安全特别是对于基于Web的应用程序不同的重点。为了支持所提出的想法,一个漏洞的情况进行了讨论。2.Web应用程序的身份验证级别当用

6、户接触如在图1的工序的示出的网站,认证请求可以提示用户名和密码。这两种常见的方法是脚本控制的认证和Web服务器控制的认证。前者包括基于表单的技术,使网页上与数据输入组件输入用户名,密码和其他认证数据的用户代理。后者是在Web服务器管理用户的验证,并且如果用户是有效的,只会被请求的网络资源。基本身份验证和集成身份验证是这种常见的例子。当完成水平和网络资源请求是数据库服务器中,例如为内容管理系统的情况下,服务器侧脚本将发起到数据库服务器的连接。然后,根据观众或系统的类型,web应用程序可以被设计成在电平b与数据库进行身份验证,如图1中,由任一N:1或1:

7、1分别实际或外部用户和数据库用户的映射。图1在web环境中的认证级别多对一个数据库的连接可以是在应用中该系统的一大段执行只读操作不论哪个用户的因特网面的情形中记录所希望的。它也可能希望用于实现连接池[8],其中数据库服务的数千只有少数数据库连接请求。对于这样的情况下,一个单一的数据库的用户名和密码,是用来连接到数据库。最流行的Web应用程序框架使用这种方法[9]。尽可能多的这个数据库中的多路复用降低行政管理费用和可能的性能和可伸缩性优势,它引入了一个盲点当审计数据库活动[10]。分析数据库事务日志可能永远不会透露谁做什么。3.Web应用程序的风险影响

8、与传统的台式机系统,web应用程序由于它们的结构遭受风险,也由于这样的事实,它们暴露于更广泛的观众机漏洞。最

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。