返回
web系统安全分析

web系统安全分析

ID:23817856

大小:61.01 KB

页数:13页

时间:2018-11-10

web系统安全分析_第1页
web系统安全分析_第2页
web系统安全分析_第3页
web系统安全分析_第4页
web系统安全分析_第5页
资源描述:

《web系统安全分析》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、****信息技术有限公司Web系统安全分析报告编写人:编写时间:2013.8.1部门名:技术部--测试组13/13****信息技术有限公司目录Web系统安全概述3Web攻击的分类4基于用户输入的攻击4基于会话状态的攻击。4Web攻击的分类分析4基于用户输入攻击:4(1)SQL注入攻击4(2)跨站脚本攻击(XSS)6基于会话状态的攻击:7保障web系统安全性的方法总结:8Web系统的安全性测试10IBMRationalAppScan简介11IBMRationalAppScan的使用范围12开发人员使用A

2、ppScan12测试人员使用AppScan13文档说明:1313/13****信息技术有限公司Web系统安全概述随着互联网的迅猛发展,web应用的数量急剧增加。与此同时,web站点被攻击的现象呈逐年上升趋势,这主要由于多数站点所提供的安全服务有限,使得web系统的安全性非常脆弱,存在很多的安全漏洞。而这些漏洞的存在,使得web应用程序很容易被攻击者利用,进而破坏web系统的安全性。Web安全漏洞可以分为两类:第一类是web服务器程序存在的安全漏洞,如:IIS、Apache或NetscapeServer

3、存在的漏洞。第二类是web应用程序存在的漏洞,这主要是因为程序员在使用ASP、Perl等脚本对web系统进行的编程过程中,由于缺乏安全意识或有着不良的编程习惯,最终导致程序出现可能被利用的漏洞。注:第一类的安全漏洞可以通过对服务器进行定期的检查,维护来防止安全漏洞的出现。所以本报告主要对第二类的web安全漏洞进行分析。13/13****信息技术有限公司Web攻击的分类对于web应用程序存在的漏洞,攻击者针对不同的安全威胁有相对应的攻击方式,主要可分为两大类:一、基于用户输入的攻击根据国际组织OWASP

4、统计,排在前两位的web攻击手段分别是脚本注入攻击(SQLinjection)和跨站脚本攻击(CSS/XSS),这两者均属于网站未对用户输入进行安全验证而导致的结果。二、基于会话状态的攻击web应用程序在会话管理机制方面存在的缺陷,往往也会导致攻击者通过提升权限来对网站进行破坏。Web攻击的分类分析一、基于用户输入攻击:(1)SQL注入攻击脚本注入(SQL13/13****信息技术有限公司injection)指的是将SQL代码传递到一个并非开发人员所预期的服务程序中,试图操纵程序的数据库的攻击方式。产

5、生SQL注入的大部分原因是因为应用程序没有对用户输入做严格的检查。通过脚本注入,攻击者不仅可以获取网站管理员权限,对网站进行肆意操作。而且攻击者可以上传木马程序,从而控制网站所在的服务器。虽然SQL注入攻击的危害很大。但是,程序员在系统的开发过程中,可从以下几个方面防范SQL注入攻击:1、全面检查输入的参数设置例如:如果要用户输入数值方面的数据时,必须确保在执行查询前,其输入的只是数值数据,如果输入包含其他字母,符号等数据则一律拒绝查询,此外,还可以更进一步执行一些额外的检测,确保输入数值的长度合法、

6、有效等。2、加强执行SQL查询账户的权限管理最好采用最低权限标准。如果某个账户执行了一些不属于其权限范围内的查询,例如删除表格等,该查询将不会成功执行。还可以用不同的用户账户执行查询、插入、更新、删除操作。由于隔离了不同账户可执行的操作,因而也就防止了原本执行select命令的地方却被用于执行Insert、Update或Delete命令。3、设置数据库特定的存储过程如果只允许执行特定的存储过程,那么所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难发生注入式攻击了。4、限制表单或查询字符串

7、输入的长度如果用户的登录名字最多只有20个字符,那么不要认可表单中输入的20个以上的字符,这将大大增加攻击者在SQL命令中插入有害代码的难度。13/13****信息技术有限公司(2)跨站脚本攻击(XSS)跨站脚本攻击指的是攻击者往网站的web页面里插入恶意HTML代码,当用户浏览该网页时,这段HTML代码会被执行,从而获取用户的敏感信息。跨站脚本攻击的威胁程度已经跃居所有安全威胁之首,导致的后果极其严重,影响面也十分广泛。系统开发人员和系统维护人员可从以下方面防范XSS攻击:1、黑表过滤也就是说将不可

8、以接受的数据过滤掉。比如“”标签等等。2、设置白表由黑表过滤机制可知,将黑表中记录的所有非法输入进行过滤几乎是不可能的,因为可能在HTML中以标签方式执行的脚本类型层出不穷,编码方式也不断更新。因此,与其过滤掉数据中不应该被接受的部分,不如设置白表,将所有可以接受的数据记录下来,这样只允许输入白表中设置的数据类型,其他类型均不允许输入。3、字符转换如果能够不把用户输入看成代码而只看成文本的话,就能避免跨站脚本攻击。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。