返回
web应用安全问题常见种类

web应用安全问题常见种类

ID:5292714

大小:290.45 KB

页数:10页

时间:2017-12-07

web应用安全问题常见种类_第1页
web应用安全问题常见种类_第2页
web应用安全问题常见种类_第3页
web应用安全问题常见种类_第4页
web应用安全问题常见种类_第5页
资源描述:

《web应用安全问题常见种类》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、1.SQL注入;2.跨站脚本编制;3.跨站请求伪造;4.链接注入及通过框架钓鱼;5.解密的登录请求;SQL注入Web应用通常在后端使用数据库,数据查询、更新等功能是通过SQL语句操作数据库完成的。应用程序通常会通过HTTP请求获取用户输入将它并入SQL语句中,然后发送到后端数据库,接着应用程序便处理返回结果,有时会向用户显示结果。如果应用程序对用户输入的数据处理不够小心,恶意用户便可以利用这种操作方式达到攻击。在此情况下,攻击者可以输入特定的数据,当该数据并入SQL语句中时,就将SQL原始语法构造得面目全非。例如MIS系统典型情况,应用程序使用用户输入的

2、用户名和密码来查询用户账户的数据库表,以认证用户,而攻击者能够将恶意数据注入查询的用户名部分(和/或密码部分),查询便可能更改成完全不同的数据查询,也可能是修改数据的查询或在数据库服务器上运行Shell命令的查询。一般开发人员认为,降低SQL注入攻击风险的一般方式是禁止详细的SQL错误消息,因为攻击者通常是便利用这些消息找出容易遭受“SQL注入的脚本或页面的,但是这个解”决方案可以利用称为“SQL盲注的技术来略过,攻击者不需要依赖被注入”SQL语句的执行错误信息便能找出容易那些易受攻击的脚本或页面。本质上讲,避免SQL注入的根本解决方法是对用户输入数据进

3、行模式过滤,这些过滤应包括:1.使用SQL条件参数化来避免直接利用用户输入作为SQL语句条件部分(WHERE子句),来拼接SQL语句所可能带来的语义串改;需要注意的是,不是所有SQL注入(及盲注)都是能够通过这种方式来避免的,因为不是所有业务的用户输入数据都只作用到SQL语句的条件部分,在本次涉及的7个应用系统中,存在的很多SQL注入缺陷都是发生的不能使用SQL条件参数化而使用SQL拼串的业务用例中;2.转义SQL保留字符。对用户输入数据中存在的SQL保留字符进行转义,最基本的如单引号替换为连续两个单引号。在做此类转义替换时,必须同时考虑避免转义替换后带

4、来的二级注入问题,这包括截断。因此对于只作用到SQL语句的条件部分的用户输入,应优先使用上述SQL条件参数化来避免注入攻击;3.避免过于详细的SQL执行异常提示信息。这种考虑的目的显而易见,通过避免SQL执行异常信息暴露给最终用户,可以有效避免攻击者通过应用返回的错误提示信息来获得用于执行更精确的攻击所需要的信息。这种方式仅能够为SQL注入设置障碍。下面列举准金融系统应用安全测试所发现的典型SQL注入缺陷,深入的说明分析需要从开发角度另行展开,暂时资源有限。POST/feeManage/transferpayaccept.do?method=doTran

5、sferPay&PayFee=0.00&ServiceKind=9&TransId=350&IfEntrust=0&EntrustAccountFeeId=0&AccountId=14183504&IfTrans=1&ServiceId=13177989858&Note=&UnitFee=0.00&PresentFee=0.00HTTP/1.0Cookie:JSESSIONID1=0000E8CsloTOwVI_5PyPvVOoSHA:-1;JSESSIONID3=0000vOPtHpNFLDYGuW0JnvkAF3Q:-1;JSESSIONID2=00

6、00OaSqYf_qD2IeDdi7At6NEHj:-1;PHPSESSID=2fccd47c0d0234507adb31dcf2063879Content-Length:322Accept:image/gif,image/x-xbitmap,image/jpeg,image/pjpeg,application/x-shockwave-flash,application/vnd.ms-excel,application/vnd.ms-powerpoint,application/msword,application/xaml+xml,applicatio

7、n/vnd.ms-xpsdocument,application/x-ms-xbap,application/x-ms-application,*/*Referer:http://10.4.120.56:8080/feeManage/transferpayaccept.do?method=initFunAccept-Language:zh-cnContent-Type:application/x-www-form-urlencodedUser-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.1;SV1;.N

8、ETCLR2.0.50727;.NETCLR3.0.04506.30)Host:

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。