常见的网络应用安全漏洞,已知的弱点和错误配置,已知弱点包括Web应用程序和第三方应
用程序使用的操作系统中的所有程序错误或可利用的漏洞。此问题还涉及错误配置,包括不安全
的默认设置或管理员未安全配置的应用程序。一个很好的例子是,您的Web服务器被配置为允许
任何用户通过系统上的任何目录路径,这可能导致存储在Web服务器上的一些敏感信息(如密码
、源代码或客户信息)被泄露。
隐藏字段,在许多应用程序中,隐藏的HTML格式字段用于保存系统密码或商品价格。不管它们
的名字是什么,这些字段并不隐藏,任何在网页上执行“查看源代码”的人都可以看到它们。许多
网络应用程序允许恶意用户修改HTML源文件中的这些字段,为他们提供了以很少或没有成本购
买商品的机会。这些攻击是成功的,因为大多数应用程序不验证返回的网页。相反,他们认为输
入数据和输出数据是一样的。
的名字是什么,这些字段并不隐藏,任何在网页上执行“查看源代码”的人都可以看到它们。许多
网络应用程序允许恶意用户修改HTML源文件中的这些字段,为他们提供了以很少或没有成本购
买商品的机会。这些攻击是成功的,因为大多数应用程序不验证返回的网页。相反,他们认为输
入数据和输出数据是一样的。
后门和调试漏洞,开发人员通常构建后门,并依靠调试来解决应用程序的问题。这可以在开发过
程中完成,但是这些安全漏洞往往会留在一些放在互联网上的最终应用程序中。一些常见的后门
使用户能够登录或访问特殊的网址,允许直接应用程序配置,而无需密码。
程中完成,但是这些安全漏洞往往会留在一些放在互联网上的最终应用程序中。一些常见的后门
使用户能够登录或访问特殊的网址,允许直接应用程序配置,而无需密码。
跨站点脚本,一般来说,跨站点脚本是将代码插入另一个来源发送的网页的过程。使用跨站点脚
本的一种方法是通过HTML格式,在公告栏上发布信息是跨站点脚本的一个很好的例子。恶意用
户会在公告牌上发布包含恶意Javascrīpt代码的信息。当用户看这个公告板的时候,服务器会发
送HTML和这个恶意的用户代码一起显示。客户端的浏览器执行代码,因为它认为这是来自网络
服务器的有效代码。
本的一种方法是通过HTML格式,在公告栏上发布信息是跨站点脚本的一个很好的例子。恶意用
户会在公告牌上发布包含恶意Javascrīpt代码的信息。当用户看这个公告板的时候,服务器会发
送HTML和这个恶意的用户代码一起显示。客户端的浏览器执行代码,因为它认为这是来自网络
服务器的有效代码。
参数篡改包括操纵网址字符串来检索用户无法获得的信息。对网络应用程序后端数据库的访问
是通过经常包含在网址中的SQL调用来实现的。恶意用户可以操作SQL代码,以便将来可以检
索数据库中存储的所有用户、密码、信用卡号或任何其他数据的列表。
是通过经常包含在网址中的SQL调用来实现的。恶意用户可以操作SQL代码,以便将来可以检
索数据库中存储的所有用户、密码、信用卡号或任何其他数据的列表。
更改cookie是指修改存储在cookie中的数据。网站经常存储cookie,包括用户标识、密码、账
号等。在用户系统上。通过更改这些值,恶意用户可以访问不属于他们的帐户。攻击者还可
以窃取用户的cookie并访问用户的帐户,而无需输入标识和密码或执行其他身份验证。输入信
息控制。输入信息检查包括通过控制由CGI脚本处理的HTML格式的输入信息来运行系统命令
的能力。例如,攻击者可以控制使用CGI脚本向另一个用户发送信息的形式,将服务器的密码
文件发送给恶意用户或删除系统上的所有文件。
号等。在用户系统上。通过更改这些值,恶意用户可以访问不属于他们的帐户。攻击者还可
以窃取用户的cookie并访问用户的帐户,而无需输入标识和密码或执行其他身份验证。输入信
息控制。输入信息检查包括通过控制由CGI脚本处理的HTML格式的输入信息来运行系统命令
的能力。例如,攻击者可以控制使用CGI脚本向另一个用户发送信息的形式,将服务器的密码
文件发送给恶意用户或删除系统上的所有文件。
缓冲区溢出是恶意用户向服务器发送大量数据以瘫痪系统的典型攻击方法。该系统包括用于存
储这些数据的预设缓冲器。如果接收的数据量大于缓冲区,部分数据将溢出到堆栈上。如果数
据是代码,系统将执行溢出到堆栈上的任何代码。网络应用程序缓冲区溢出攻击的典型例子也
涉及到HTML文件。如果HTML文件中的字段中的数据足够大,它可能会造成缓冲区溢出情况。
储这些数据的预设缓冲器。如果接收的数据量大于缓冲区,部分数据将溢出到堆栈上。如果数
据是代码,系统将执行溢出到堆栈上的任何代码。网络应用程序缓冲区溢出攻击的典型例子也
涉及到HTML文件。如果HTML文件中的字段中的数据足够大,它可能会造成缓冲区溢出情况。
直接访问浏览是指直接访问应该需要认证的网页。配置不正确的Web应用会让恶意用户直接访
问包含敏感信息的URL,或者让提供付费网页的公司损失收入。Web应用攻击会对企业的财产
、资源和声誉造成巨大的损害。虽然Web应用程序增加了攻击企业的风险,但是有很多方法可
以帮助减轻这种风险。首先要教育开发人员了解安全编码方法。只有这一步才能消除大多数W
eb应用程序的安全问题。第二,跟上所有厂商的最新安全补丁。如果不修复已知的缺陷,就像
特洛伊木马一样,攻击者可以很容易地使用您的Web应用程序通过防火墙访问Web服务器、数
据库服务器、应用程序服务器等等。结合这两个步骤将大大降低Web应用程序被攻击的风险。
与此同时,经理们必须采取严格的措施,确保没有任何东西从他们手中溜走。
问包含敏感信息的URL,或者让提供付费网页的公司损失收入。Web应用攻击会对企业的财产
、资源和声誉造成巨大的损害。虽然Web应用程序增加了攻击企业的风险,但是有很多方法可
以帮助减轻这种风险。首先要教育开发人员了解安全编码方法。只有这一步才能消除大多数W
eb应用程序的安全问题。第二,跟上所有厂商的最新安全补丁。如果不修复已知的缺陷,就像
特洛伊木马一样,攻击者可以很容易地使用您的Web应用程序通过防火墙访问Web服务器、数
据库服务器、应用程序服务器等等。结合这两个步骤将大大降低Web应用程序被攻击的风险。
与此同时,经理们必须采取严格的措施,确保没有任何东西从他们手中溜走。