返回
web应用与开发安全

web应用与开发安全

ID:40055728

大小:331.36 KB

页数:11页

时间:2019-07-18

web应用与开发安全_第1页
web应用与开发安全_第2页
web应用与开发安全_第3页
web应用与开发安全_第4页
web应用与开发安全_第5页
资源描述:

《web应用与开发安全》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、WEB应用与开发常见的安全缺陷及解决办法余德贵yudgu@163.com数据库(D)WEBSERRVER(S)浏览器(B)ASPresponseASPrequest1、web应用程序的结构和安全(ASP)可能出现的安全问题:(1)服务端:操作系统、Web网站访问安全(TCP/IP端口)、应用程序(ASP/执行文件的运行等)、数据库安全(如数据的合法性)(2)客户端:访问Web网站资源时出现的安全,如脚本安全,执行文件(exe、bat)的下载和运行(3)传输:数据被拦截、侦听、数据包解密等。(2)客户端(1)服务端(3)传输2、

2、web应用程序安全(ASP)安全表征:(1)服务端:数据库丢失、数据失窃和修改、据库服务停止、Web网站瘫痪或页面被修改(盗连接)、操作系统崩溃等安全缺陷:操作系统、数据服务和web应用程序本身的缺陷(2)客户端:浏览器、操作系统设置被恶意修改、数据失窃和修改、操作系统崩溃等安全缺陷:操作系统本身的缺陷、保护意识和非法使用计算机软件2、web应用程序安全攻击、侵入网站、病毒(木马设计)的目的:(1)表现自己的计算机水平(好奇)(2)窃取数据机密(如情报)(3)商业目的,如计算机病毒的生产与某些杀毒软件公司有密切联系(4)保护自

3、己程序代码。故意攻击、侵入网站、病毒(木马)设计和传播是犯罪行为!用autorun.inf文件传播我木马或病毒最近出现了用autorun.inf文件传播我木马或病毒,它通过使用者的误操作让目标程序执行,达到侵入电脑的目的,autorun.inf常用于对文件的安装等操作,是为了方便使用者运行程序。但因为有木马和病毒通过它传播所以它带来了很大的负面影响。利用TCP/IP协议设计的NethackerⅡ等黑客软件可以穿过Internet网络,找到共享的主机,然后进行相应操作。所以当您通过Modem上网时,千万要小心,因为一不小心,您的

4、主机将完全共享给对方了。防范这类事情发生的方法无非是经常检查系统,给系统打上补丁,经常使用反黑杀毒软件,上网时打开防火墙,注意异常现象,留意AutoRun.inf文件的内容,关闭共享或不要设置为完全共享,且加上复杂的共享密码。操作系统、数据服务和web应用程序本身的缺陷攻击、侵入网站Windows的某些服务程序,Tcp/ip数据共享SQLServer的sql语句(数据库注入)ASP程序代码执行安全web应用程序开发安全职责保证应用程序的安全应当从编写第一行代码的时候开始做起,原因很简单,随着应用规模的发展,修补安全漏洞所需的

5、代价也随之快速增长。根据IBM的系统科学协会(SystemsSciencesInstitute)的研究,如果等到软件部署之后再来修补缺陷,其代价相当于开发期间检测和消除缺陷的15倍。 为了用最小的代价保障应用程序的安全,在代码本身的安全性、抗御攻击的能力等方面,开发者应当担负更多的责任。然而,要从开发的最初阶段保障程序的安全性,必须具有相应的技能和工具,而真正掌握这些技能和工具的开发者并不是很多。虽然学写安全的代码是一个复杂的过程,最好在大学、内部培训会、行业会议上完成,但只要掌握了下面五种常见的ASP.NET应用安全缺陷以

6、及推荐的修正方案,就能够领先一步,将不可或缺的安全因素融入到应用的出生之时。一、不能盲目相信用户输入在Web应用开发中,开发者最大的失误往往是无条件地信任用户输入,假定用户(即使是恶意用户)总是受到浏览器的限制,总是通过浏览器和服务器交互,从而打开了攻击Web应用的大门。实际上,黑客们攻击和操作Web网站的工具很多,根本不必局限于浏览器,从最低级的字符模式的原始界面(例如telnet),到CGI脚本扫描器、Web代理、Web应用扫描器,恶意用户可能采用的攻击模式和手段很多。处理办法:用客户/服务端基本数据验证:⑴始终对所有的用

7、户输入执行验证,且验证必须在一个可靠的平台上进行,应当在应用的多个层上进行。     ⑵除了输入、输出功能必需的数据之外,不要允许其他任何内容。     ⑶设立“信任代码基地”,允许数据进入信任环境之前执行彻底的验证。     ⑷登录数据之前先检查数据类型。   ⑸详尽地定义每一种数据格式,例如缓冲区长度、整数类型等。     ⑹严格定义合法的用户请求,拒绝所有其他请求。   ⑺测试数据是否满足合法的条件,而不是测试不合法的条件。这是因为数据不合法的情况很多,难以详尽列举。3、web应用程序开发安全措施(ASP)二、sqlse

8、rver数据防止注入攻击者可以在输入域中插入特殊字符,改变SQL查询的本意,欺骗数据库服务器执行恶意的查询恶意查询,有可能获取后端数据库保存的任何信息,例如客户信用卡号码的清单甚至进入操作系统。Sql注入式攻击是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。