返回
典型网站漏洞分类、影响及解决方.doc

典型网站漏洞分类、影响及解决方.doc

ID:54861896

大小:32.00 KB

页数:7页

时间:2020-04-23

典型网站漏洞分类、影响及解决方.doc_第1页
典型网站漏洞分类、影响及解决方.doc_第2页
典型网站漏洞分类、影响及解决方.doc_第3页
典型网站漏洞分类、影响及解决方.doc_第4页
典型网站漏洞分类、影响及解决方.doc_第5页
资源描述:

《典型网站漏洞分类、影响及解决方.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、个人收集整理,勿做商业用途本文由s8h4a2n6贡献文档可能在端浏览体验不佳。建议您优先选择,或下载源文件到本机查看。一、典型网站漏洞分类根据风险等级,网站漏洞通常可分为高风险、中风险和低风险三种。其中高风险漏洞是必须封堵的。中、低风险漏洞中有一部分是必须封堵的。还有一部分中、低风险漏洞,由于其封堵的代价可能远高于不封堵所造成的损失,因而可以进行选择性封堵。可以采取工具亿思平台进行其网站的漏洞扫描,具体地址为:典型网站漏洞的分类及相应的封堵要求如下表所示:风险等级高风险1、注入漏洞2、跨站漏洞中、低风险1、默认测试用例文件2、管理后台登陆入口中、低风险1、存在电子邮件地址漏洞名称3、注入漏3

2、、应用程序错误引起的2、无效链接洞信息泄露4、备份文件造成的源代码泄漏3、应用默认目录封堵要求必须封堵选择封堵1二、典型网站漏洞影响及解决方案1、注入漏洞漏洞影响:本漏洞属于应用安全中的常见漏洞,属于10(2007)中的注入类漏洞。很多应用中都存在注入漏洞。注入是一种攻击者利用代码缺陷进行攻击的方式,可在任何能够影响数据库查询的应用程序参数中利用。例如本身的参数、数据或值。正常的注入攻击很大程度上取决于攻击者使用从错误消息所获得信息。但是,即使没有显示错误消息应用程序仍可能受注入的影响。总体上讲,注入是对应用而不是对服务器或操作系统本身的攻击。正如其名称所示,注入是对查询添加非预期命令从而以

3、数据库管理员或开发人员非预期的方式操控数据库的行为。如果成功的话,就可以获得、修改、注入或删除有漏洞应用所使用数据库服务器的数据。在某些环境下,可利用注入完全控制系统。解决方案:防护建议包括部署分层安全措施(包括在接受用户输入时使用参数化的查询)、确保应用程序仅使用预期的数据、加固数据库服务器防止不恰当的访问数据。建议使用以下措施防范注入漏洞:2对于开发使用以下建议编写不受注入攻击影响的应用。参数化查询:注入源于攻击者控制查询数据以修改查询逻辑,因此防范注入攻击的最佳方式就是将查询的逻辑与其数据分隔,这可以防止执行从用户输入所注入的命令。这种方式的缺陷是可能对性能产生影响(但影响很小),且必

4、须以这种方式构建站点上的每个查询才能完全有效。只要无意中绕过了一个查询,就足以导致应用受注入的影响。以下代码显示的是可以进行注入的语句示例。="";=+"="+[""];=;下面的例子使用了参数化的查询,不受注入攻击的影响。="*";=+"=";=;("",[""]);7/7个人收集整理,勿做商业用途应用程序没有包含用户输入向服务器发送语句,而是使用参数替代该输入,这样用户输入就无法成为执行的命令。3这种方式可以有效的拒绝攻击者所注入的任何输入,尽管仍会生成错误,但仅为数据类型转换错误,而不是黑客可以利用的错误。以下代码示例显示从查询字符串中获得产品并使用到查询中。请注意传送给的包含有的字符

5、串仅仅是个静态字符串,不是从输入中截取的。此外还请注意使用对象传送输入参数的方式,该对象的名称()匹配查询中所使用的名称。示例:=[""];(=()){();=("(*)",);=("",,50);=[""];();=()();}4示例:=("")()()=("(*)",)=("",,50)=("")()=()验证输入:可通过正确验证用户输入的类型和格式防范大多数注入攻击,最佳方式是通过白名单,定义方法为对于相关的字段只接受特定的帐号号码或帐号类型,或对于其他仅接受英文字母表的整数或字母。很多开发人员都试图使用黑名单字符或转义的方式验证输入。总体上讲,这种方式通过在恶意数据前添加转义字符来拒

6、绝已知的恶意数据,如单引号,这样之后的项就可以用作文字值。5这种方式没有白名单有效,因为不可能事先知道所有形式的恶意数据。对于安全操作使用以下建议帮助防范对应用的注入攻击。限制应用程序权限:限制用户凭据,仅使用应用运行所必需权限的。任何成功的注入攻击都会运行在用户凭据的环境中,尽管限制权限无法完全防范注入攻击,但可以大大增加其难度。强系统管理员口令策略:通常攻击者需要管理员帐号的功能才能使用特定的命令,如果系统管理员口令较弱的话就比较容易暴力猜测,增加成功注入攻击的可能性。另一个选项就是根本不使用系统管理员口令,而是为特定目的创建特定的帐号。一致的错误消息方案:确保在出现数据库错误时向用户提

7、供尽可能少的信息。不要泄漏整个错误消息,要同时在和应用服务器上处理错误消息。当服务器遇到处理错误时,应使用通用的页面响应,或将用户重新定向到标准的位置。绝不要泄漏调试信息或其他可能对攻击者有用的细节。有关如何在中关闭详细错误消息的说明请见:7/7个人收集整理,勿做商业用途62000使用以下句法在服务器上取缔错误消息::<3>:500500之类的应用服务器通常默认安装启用了错误消息或调试设置。有关如何取缔这些错

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。