返回
信息安全工程师案例分析111-115

信息安全工程师案例分析111-115

ID:27808688

大小:324.37 KB

页数:9页

时间:2018-12-06

信息安全工程师案例分析111-115_第1页
信息安全工程师案例分析111-115_第2页
信息安全工程师案例分析111-115_第3页
信息安全工程师案例分析111-115_第4页
信息安全工程师案例分析111-115_第5页
资源描述:

《信息安全工程师案例分析111-115》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、信息安全工程师案例分析每日一练(2016/11/1)阅读卜•列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。【说明】在Internet技术飞速演变、电子商务蓬勃发展的今天,开发的很多应用程序都是Web应用程序,随着微信、微博、网上银行等一系列的新型的Web应用程序的诞生,Web应用越來越广泛。然而Web应用程序及Web站点往往很容易遭受各种各样的入侵,Web数据在网络传输过程中也很容易被窃取或盗用。如何能够使Web及数据传输更加安全,就显得尤为重要。如今,Web业务平台己经在电子商务、企业信息化屮得到广

2、泛应用,很多企业都将应用架设在Web平台上,Web业务的迅速发展也引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。国际权威机构Forrester的统计数据表明,67%的攻击是通过应用层的攻击。即是,最简单的网页浏览也有可能造成威胁,比如,单击含有病毒的网址、隐秘的图片,或者,单击下

3、载某些免费的软件、文件等,由于下载的软件或者文件屮含有未知的恶意代码,当用户在运行程序或者打开这些文件时,恶意代码被启动就有可能造成用户个人信息丢失,甚至后台服务器系统出现漏洞给恶意攻击者窃取信息提供方便的大门。【问题1](5分)开源Web应用安全项目(0WASP)是一个开放的社区组织。专注于应用程序,代码开发的威胁讨论。TOP10项目的目标是通过找出企业组织所面临的最严重的十大风险來提高人们对应用程序安全的关注度。以下是罗列的十大最有可能发生的应用漏洞,将选项A-J正确对应到其括号内。1、注入(G)2、失效的

4、身份认证和会话管理(I)3、跨站脚本(XSS)(II)4、不安全的直接对象引用(J)5、安全配置错误(F)6、敏感信息泄露(B)7、功能级访问控制缺失(E)8、跨站请求伪造(CSRF)(D)9、使用含有已知漏洞的组件(A)10、未验证的重定向和转发(C)A、如果一个带有漏洞的组件被利用,这种攻击可以造成更为严重的数据丢失或服务器接管,在应用程序中使用会破坏应用程序防御系统。B、攻击者可能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取,或其他犯罪。C、Web应用程序经常将用户重定向和转发到其他网页和网站,

5、并且利用不可信的数据去判定目的页面。D、迫使登录用户的浏览器将伪造的HTTP请求,包括该用户的会话cookie和其他认证信息,发送到一个存在漏洞的Web应用程序。E、应用程序需要在每个功能被访问时在服务器端执行和同的访问控制检查。如果请求没有被验证,攻击者能够伪造请求以在未经适当授权时访问功能。F、好的安全需要对应用程序、框架、应用程序服务器、Web服务器、数据库服务器和平台定义和执行安全配置。G、攻击者通过在应用程序预先定义好的查询语句结尾加上额外的查询语句元素,欺嵋数据库服务器执行非授权的任意杳询。H、攻击

6、者通过在这种链接屮插入恶意代码,当用户不小心单击这样带有恶意代码的链接时,其用户信息就有可能被攻击者盗取。I、用户使用公共计算机浏览网站,登录验证身份Z后,离开时没有退出账户而是选择直接关闭浏览器,使得下一个用户使用相同计算机浏览相同浏览器,可以看到上一个用户的对话。J、作为授权的系统用户,攻击者只需要修改指向一个系统对彖的直接引用参数值,让其指向另一个无权的对象。【问题2】(2分)SQL注入攻击有4个基木的特点:A、局限性,B、隐蔽性,C、攻击吋间短,D、危害大。其中哪个错误的?(1分)应该是什么?(1分)“

7、局限性”错误,应该是“广泛性”【问题3】(3分)SQL注入攻击的危害性很大,应该从哪些方而来避免这种漏洞攻击?•使用自带的安全的API,完全避免使用解释器或提供参数化界面的APR•使用解释器具体的escape语法来避免特殊字符。比如,分号分隔符。•加强对用户输入的验证。【问题4】(5分)如何防范跨站脚木(XSS)?(3分)如何防范跨站请求伪造(CSRF)?(2分)防范XSS:•对将要置于HTML上下文(包括主体、属性、JavaScript、CSS或URL)的不可信数据进行恰当的转义(escape);•使用“白名

8、单”,具有恰当的规范化和解码功能的输入验证方法,尽可能地解码任何编码输入;•使用内容安全策略(CSP)o•用户控制自己的好奇心,尽量不去单击页面中不安全的链接。防范CSRF:通常需要在每个HTTP请求中添加一个不可预测的令牌。这种令牌对每一个用户会话来说是唯一的。•将令牌包含在一个隐藏字段中,通过HTTP请求体发送,。•将令牌包含在URL中或作为一个URL参数。•要求用户重新认证。信息

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。