返回
SaaS常见网络攻击防范的研究

SaaS常见网络攻击防范的研究

ID:43726296

大小:431.42 KB

页数:51页

时间:2019-10-13

SaaS常见网络攻击防范的研究_第1页
SaaS常见网络攻击防范的研究_第2页
SaaS常见网络攻击防范的研究_第3页
SaaS常见网络攻击防范的研究_第4页
SaaS常见网络攻击防范的研究_第5页
资源描述:

《SaaS常见网络攻击防范的研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、SaaS常见网络攻击防范的研究摘要冃前安全问题是限制软件即服务模式应用的最主要原因Z-oSaaS专家在谈及SaaS安全性问题时认为,虽然安全性不足以制约整个产业的发展,但这一产业要想实现快速发展,安全性问题仍需要重点关注。网络攻击是対SaaS系统最主要的安全威胁之一。目前很多SaaS模式的系统在网络安全方面,虽然能够很好地防止SQL注入,能够保证川户登陆安全,但是没有较好地防范跨站脚木攻击,跨站请求伪造,HTTP响应拆分攻击等。在批界知名网络安全研究组织Owasp2007年发布的网络攻击排行榜中,跨站脚本攻击和跨站请求伪造均位于前5位而HTTP响应拆分因为可以导致跨

2、站脚本攻击也极其危险。对丁一个SaaS系统,各个租户的用户账号是非常重要的。攻击者可以利用XSS漏洞获取了SaaS系统的租户Cookie或者账号信息等。攻击者也可以利用CSRF能导致用户在完全无知的情况下发送HTTP请求到SaaS系统,从而破坏或者泄漏租户数据。HTTP响应拆分攻击目前不是很受—•些安全机构重视,但对于数据安全性要求较高的S池S系统是有必要加以防范的,因为只耍有用户数据泄漏,便会影响SaaS企业的声誉,并且给SaaS系统的进一步推广帯来非常不利的影响。虽然微软等已经意识到这些网络攻击的严重危害性,并RIE8提供了隐私报告功能,包含了一个XSS过滤器,

3、并且引入了一种防止页面被框架化的机制,但这些都只是在一定程度上增加了网络攻击的难度;Firefox捉供禁用脚木的插件,但用八还是会利用插件的口名单功能允许部分网站使用脚本,从而导致网络攻击漏洞。口前SaaS企业还未对网络攻击的防范有充分的考虑,共至是肓到客户要求防范网站攻击的时候,才补充对网络攻击的防范,这样将会碍要更多的人力和时间成木。因此对SaaS系统常见网络攻击的防范技术是非常重要的。目前对XSS防范主要是对所有用户捉交的内容进行输入验证,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,只允许包含最小的、安全的Tag,对其他的—•律过滤。目前对

4、CSRF攻击的主要防范措丿施最有效的服务端防范方法是使用secrettokens,在毎个HTTP农单里血添加-•个隐藏的加密属性,服务端以这个隐藏属性來识别攻击者伪造的请求。另外是检查HTTPrefero保持浏览器更新,经常清理历史记录、Cookie记录等。冃丽防范HTTPResponseSplitting的方法即是对HTTPi青求进行过滤,去掉换行字符。分析了对SnaS常见网络攻击防范措施的有效性和适用性。比如XSS防范使用一次性黑名单过滤很容易遗漏非法字符,而白名单过滤才是更有效的方法;当白名单不确定从而只能使用黑名单过滤时,则可以循环使用黑名单过滤,直到不再出

5、现危险字符为止。防范XSS需耍过滤&#ASCII等类似的16进制html代码,因为HTML编码可以用&#ASCII方式来写。CookiesHashing可以对CSRF进行一定的防范,但是攻击者可能使用XSS漏洞等盗取Cookies□检测访问來路对CSRF的防范有限,因为HTTPReferre「是由客户端浏览器发送的,所以攻击者可以伪造HTTP头。在用户提交的每一个表单中使用验证码并不能完全阻止机器自动识别提交验证码,也会给用户使用网站带來不便。使用Post方法也依然可能存在CSRF漏洞,因为利用JavaScript可以很容易提交Post方法的HTTP请求。比较冇效的

6、方法是给non-GET的请求设置securitytoken,服务器依据表单屮的securitytoken来识别跨站请求伪造。对HTTPResponseSplitting攻击只过滤r也是不够的,因为转义过的了符%0d%0a也会被解析成换行字符。最后确定防范XSS跨站脚本漏洞有效的方法是对于每次表单提交的内容,首先进行过滤,去掉非法内容,然示转义危险的html字符。防范CSRF跨站请求伪造有效的方法是生成随机的securitytoken添加到每个链接,或者作为隐藏属性添加到每个表单。防止HTTP响应拆分攻击有效的方法是对用户发送请求的HTTP头进行过滤,去掉换行字

7、符。设计了云端通用库存管理系统,对需求和系统架构进行了描述。系统需要产品属性可配置,功能町配置。每个租户独立占冇一个Schema以冇更好的安全性。描述了数据库表的设计,精心设计了商品类别,商品和属性之间的关系,从而使得租户可以灵活地添加各类商晶。描述了系统开发环境和技术松架。解决了一•个实体对应多个数据库表的难题。配置了JNDI数据源。设计了中间层对数据的封装和表示层对页面跳转的处理。编写了防范XSS漏洞和HTTPResponseSplitting漏洞的代码。设计并实现了対用八输入html代码的过滤与转义,设计并实现了securitytoken的生成与更新,开发

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。