返回
Web应用系统安全问题浅谈

Web应用系统安全问题浅谈

ID:46285520

大小:74.00 KB

页数:3页

时间:2019-11-22

Web应用系统安全问题浅谈_第1页
Web应用系统安全问题浅谈_第2页
Web应用系统安全问题浅谈_第3页
资源描述:

《Web应用系统安全问题浅谈》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Web应用系统安全问题浅谈Web应用系统常见的安全漏洞:1、跨站脚本攻击(CSSorXSS,CrossSiteScripting)2、SQL注入攻击(SQLinjection)3、远程命令执行(Codeexecution)4、0录遍历(Directorytraversal)5、文件包含(Fileinclusion)6、脚本代码暴露(Scriptsourcecodedisclosure)7、Http请求头的额外的回车换行符注入(CRLFinjection/HTTPresponsesplitting)8^PHP代码注入(PHPcodeinjection)9、Cookie篡

2、改(Cookiemanipulation)今天我们來谈谈其中的跨站脚本攻击,SQL注入攻击,我们先來看看SQL注入攻击:一、SQL注入攻击随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的吋候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返冋的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入。常见的SQL注入式攻击过程类如:(1)某个ASP.NETWeb应用有一个登录

3、页而,这个登录页而控制着用户是否有权访问应用,它要求用户输入一个名称和密码。(2)登录页面中输入的内容将直接用來构造动态的SQL命令,或者直接用作存储过程的参数。下面是ASP.NET应用构造查询的一个例子:System.Text.StringBuilderquery=newSystem.Text.StringBuilder("SELECT*fromUsersWHERElogin=.Append(txtLogin.Text).Append('"ANDpassword="').Append(txtPassword.Text).Append('"");(3)攻击者在用户名字

4、和密码输入框中输入”,或之类的内容。(4)用户输入的内容提交给服务器Z后,服务器运行上面的ASP.NET代码构造岀查询用户的SQL命令,但由于攻击者输入的内容非常特殊,所以最后得到的SQL命令变成:SELECT*fromUsersWHERElogin二Hor'l^'l*ANDpassword='*or'l'-l'。(5)服务器执行查询或存储过程,将用户输入的身份信息和服务器中保存的身份信息进行对比。(6)由于SQL命令实际上已被注入式攻击修改,已经不能真正验证用户身份,所以系统会错误地授权给攻击者,如果攻击者知道应用会将表单川输入的内容直接用于验证身份的查询,他就会尝

5、试输入某些特殊的SQL字符串篡改查询改变其原来的功能,欺骗系统授予访问权限。系统环境不同,攻击者可能造成的损害也不同,这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限,攻击者就可能对数据库的表执行各种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表。二、跨站脚本攻击不同于SQL注入以Web服务器为目标的攻击方式,跨站脚本攻击则是将目标指向了WebWeb应用系统安全问题浅谈Web应用系统常见的安全漏洞:1、跨站脚本攻击(CSSorXSS,CrossSiteScripting)2、SQL注入攻击(SQLinjection)3、

6、远程命令执行(Codeexecution)4、0录遍历(Directorytraversal)5、文件包含(Fileinclusion)6、脚本代码暴露(Scriptsourcecodedisclosure)7、Http请求头的额外的回车换行符注入(CRLFinjection/HTTPresponsesplitting)8^PHP代码注入(PHPcodeinjection)9、Cookie篡改(Cookiemanipulation)今天我们來谈谈其中的跨站脚本攻击,SQL注入攻击,我们先來看看SQL注入攻击:一、SQL注入攻击随着B/S模式应用开发的发展,使用这种模式

7、编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的吋候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返冋的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入。常见的SQL注入式攻击过程类如:(1)某个ASP.NETWeb应用有一个登录页而,这个登录页而控制着用户是否有权访问应用,它要求用户输入一个名称和密码。(2)登录页面中输入的内容将直接用來构造动态的SQL命令,或者直接用作存储过程的参数。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。