返回
web应用程序安全性

web应用程序安全性

ID:30791871

大小:678.50 KB

页数:13页

时间:2019-01-03

web应用程序安全性_第1页
web应用程序安全性_第2页
web应用程序安全性_第3页
web应用程序安全性_第4页
web应用程序安全性_第5页
资源描述:

《web应用程序安全性》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Web应用程序女全性:测试漏洞Web的应用H益广泛,而安全性却越来越低。事实上,WebApplicationSecurityConsortium(WASC)在2009年初就佔计,所有Web站点中有87%是有漏洞,会被攻击的(有关更多信息,请参见参考资源中的链接)。尽管一些公司请得起外部安全分析师来测试exploit,但不是每家公司都有财力花2~4万美元做外部安全审计。相反,组织变得依赖于自己的开发人员了解这些威胁和确保代码没有任何此类漏洞。常用缩写词•HTML(HypertextMarkupLanguage):超文本标记语言•SQL(StructuredQueryLanguag

2、e):结构化杳询语言•URL(Un辻ormResourceLocator):统一资源定位符要编写安全的代码,必须首先了解您的应用面临的威胁。木文讨论一些比较流行的漏洞,比如跨站脚木编程和SQL注入,并介绍一些工具,可以用来帮助您不仅保护站点还保护那些支持站点的数据和网络。本文不旨在成为安全分析师的替代,也不讲授核心安全技能。而是着重于教您如何找到代码小的潜在cxploit并修复漏洞。常见漏洞首先,需要了解-些您要寻找的漏洞。第一个漏洞是最流行的:跨站脚木编程(cross-sitescripting,XSS)。XSS由注入Web站点的恶意脚本而导致。例如,Mallory编写了一个

3、脚木,会将用户发送到Alice创建的一个受信任的Web站点。Mallory将该脚本插入一个流行的论坛。当Bob在论坛上看到这个链接时,他点击并在Alice的Web站点上创建一个帐户。该脚本就利用了Alice的Web站点中的一个XSS缺陷,然后将Bob的cookie发送给MalloryoMallory现在口J以模仿Bob并盗取他的信息。SQL注入是第二个最流行的漏洞,这主要是因为Web站点对数据库的依赖性日益增加。SQL注入实际上相当简单:通过找到一个连接到数据库的Web站点,恶意黑客在开发人员不打算忽略身份验证或进行数据操纵的地方执行一个SQL查询。这就是AlbertGonza

4、lez用来盗取1.3亿信用卡号的那类攻击。在SQL注入攻击中,Mallory找到Alice创建來售电的一个Web站点。不是输入通常的用户名-密码组合,Mallory输入90R1=1-作为用户名。由于她包含了连字号(-),所以任何其他东西都不需要;由于1=1总是为真,所以她将能够成功登录。现在,她可以操纵数据库,盗取Bob的客户信息。尽管木例以最简单的形式演示了一个SQL注入,但是您可以看出攻击者利用SQL注入有多么容易。没有专门的安全分析师团队,一般的Web开发人员似乎对这些漏洞束手无策。幸运的是,事实本非如此。有很多工具可用,可以帮助您找到站点上可能的漏洞,以便采取必要的措施

5、修复漏洞。诸如WebScatab和ParosZ类的工具捕获浏览器和服务器Z间的会话,爬行Web站点以帮助您识别潜在的风险。冇了这些信息,就可以检查这些漏洞并进行防御。回页首WcbScarabWebScarab由开放Web应用程序安全项目(OpenWebApplicationSecurityProject,OWASP)开发,是首款用于分析浏览器请求和服务器应答的代理软件。除了用作数据包分析工具之外,还可以用来“fuzz”站点,寻找前面提到的那些exploito要使用WebScarab,首先在Web浏览器中配置代理设置。对于Moz订laFirefox,执彳亍以下步骤(参见Firef

6、ox键盘快捷键了解备选的可访问步骤):1.单击Tools>Options>Advanced>Networko2.单击SettingSoConnectionSettings窗口打开。3.选择Manualproxyconfiguration选项。4.对于HTTPProxy和SSLProxy,都输入localhost,并将端口设置为8008o5.确保Noproxyfor框为空,然后单击OK。图1显示了Firefox的连接设置。图1.Firefox连接设置对于Windows®InternetExplorer®,执行以下步骤(参见IE帮助菜单中的InternetExplorer键盘快捷键

7、,了解备选的可访问步骤):1.单击Tools>InternetOptions>Connections□2.单击LANSettings打开ProxySettings窗口。3.在ProxyServers下,选中UseaproxyserverforyourLAN复选框,然后单击Advancedo4.对J:HTTP和Secure,在proxyaddresstouse卜输入localhost,然后在port下输入8008o5.确保Exceptions框为空,然后单击OK。2显示了InternetExp

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。