網(wǎng)站建設(shè)核心防御機制

Web應(yīng)用程序的基本安全問題(所有用戶輸軸入都不可信)致使應(yīng)用程序?qū)嵤┐罅堪灿爸苼淼止?。盡管其設(shè)計細節(jié)與執(zhí)行效率可能千差萬別，但幾子所有應(yīng)用程序的安全機制在概念上都具有相似性。

Web應(yīng)用程序采用的防每機制由以下幾個核心因素構(gòu)成。

口處理用戶詩問應(yīng)用程序的數(shù)據(jù)與功能，防止用戶獲得未權(quán)訪問。

口處理用戶對應(yīng)用程序功能的輸人，防止錯誤驗人造成不良行為。

口防范攻擊者，確保應(yīng)用程序在成為直接攻擊日標(biāo)時能夠正常運轉(zhuǎn)，并采取適當(dāng)?shù)姆烂颗c攻擊描施推敗攻擊者。

口管理應(yīng)用程序本身，幫助管理員監(jiān)控其行為，配置其功能

鑒于它們在解決核心安全問題過程中所發(fā)揮的重要作用，一個典型應(yīng)用程序的絕大多數(shù)受政擊面也由這些機制構(gòu)成。知已知彼是戰(zhàn)爭的首要法則，那么防攻擊者向應(yīng)用程序發(fā)動有如擊的重要前提是徹底了解這些機制。無論讀者在透測試方面是否有經(jīng)驗，都應(yīng)花時間了解過核心機制在遇到的每一種應(yīng)用程序中的工作原理，并確定使其易于受到攻擊的弱點。

1、處理用戶訪問

幾乎任何應(yīng)用程序都必須滿足一個中心安全要求，即處理用戶訪問其數(shù)據(jù)與功能。在通含情況下，用戶一般分為幾種類型，如置名用戶、正常通過驗證的用戶和管理用戶。面且，許多情況下，不同的用戶只允許訪問不同的數(shù)據(jù)，例如，Web郵件應(yīng)用程序的用戶只能閱讀自己的面他人的電子郵件。

大多數(shù)Web應(yīng)用程序使用三層相互關(guān)聯(lián)的安全機制處理用戶訪問:

口身份驗證;

口會話管理

口訪問控制。

上述每一個機制都是應(yīng)用程序受攻擊面的一個關(guān)鍵部分，對于應(yīng)用程序的總體安全狀況極其重要。由于這些機制相互依賴，因此根本不能提供強大的總體安全保護，任何一個部分存在缺陷都可使攻擊者自由訪問應(yīng)用程序的功能與數(shù)據(jù)。

2、處理用戶輸入

所有用戶輸入都不可信。大量針對Web應(yīng)用程序的不同攻擊都與提交錯誤輸入有關(guān)，攻擊者專門設(shè)計這類輸入，以引發(fā)應(yīng)用程序設(shè)計者無法預(yù)料的行為。因此，能夠安全處理用戶輸入是對應(yīng)程序安全防御的一個關(guān)鍵要求。

應(yīng)用程序每一項功能以及幾乎每一種常用的技術(shù)都可能出現(xiàn)輸入方面的漏洞。通常來說，輸入確認(rèn)是防御這些攻擊的必要手段。然后，任何一種保護機制都不是萬能的，防御惡意輸入也并非如聽起來那樣簡單。

3、處理攻擊者

任何設(shè)計安全應(yīng)用程序的開發(fā)人員必須基于這樣一個假設(shè):應(yīng)用程序?qū)⒊蔀樾钜馄茐那医?jīng)驗豐富的攻擊者的直接攻擊目標(biāo)。能夠以受控的方式處理并應(yīng)對這些攻擊，是應(yīng)用程序安全機制的一項主要功能。這些機制通常結(jié)合使用一系列防御與攻擊措施，以盡可能地阻止攻擊者，并就所發(fā)生的事件，通知應(yīng)用程序所有者以及提供相應(yīng)的證據(jù)。為處理攻擊者而采取的措施一般由以下任務(wù)組成:

口處理錯誤；

口維護審計日志；

口向管理員發(fā)出警報；

口應(yīng)對攻擊。

盡管存在巨大差異，但幾乎所有的Web應(yīng)用程序都以某種形式采用相同的核心安全機制。這些機制是應(yīng)用程序應(yīng)對惡意用戶所采取的主要防御措施，因而應(yīng)用程序的受攻擊面大部分也由它們構(gòu)成。我們在本書后面介紹的漏洞也主要源于這些核心機制中存在的缺陷。在這些機制中，處理用戶訪問和用戶輸人的機制是最重要的機制。當(dāng)針對應(yīng)用程序發(fā)動攻擊時，它們將成為主要攻擊對象。利用這些機制中存在的缺陷通常可以完全攻破整個應(yīng)用程序，使攻擊者能夠訪問其他用戶的數(shù)據(jù)、執(zhí)行未授權(quán)操作以及注入任意代碼和命令。

文章名稱：網(wǎng)站建設(shè)核心防御機制
URL標(biāo)題：http://www.bm7419.com/news/16852.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供關(guān)鍵詞優(yōu)化、軟件開發(fā)、動態(tài)網(wǎng)站、域名注冊、企業(yè)建站、虛擬主機

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)