WEB应用程序的安全.pdfVIP

安全咖啡屋 计 算 机 与 网 络 创 新 生 活 麓罔群 昀熬 大家都 知道 。这年头 进行一次 化 的攻击 工具 ，Absinthe， 目前支持 app~cafionserver所用 的模块 。 成功 的 网络 攻击 是越来越 难 了 ，特 三 种 数 据 库 ，MsSQL，ORACLE 与 (5)非 WEB文件 的获取 。主要 别是我们在对客 户作安全服 务 的时 PostGreSQL，可 以很方面 的查 出 table 指 打包 文 件 (tar，tar．gz，t铲，etc)，备份 候要做 渗透 测试 。舍得花 钱让我们 name．column nam．e与 下 载 recordo 文件 (．bak，一，eta：)，头文件 (．inc，．asa， 做安 全服 务 的客户 ，手里都有大把 但 还 有 些常 用 的数 据库 是 不 支持 etc)，这 些文件 中往 往包 含 重要 内 的 银 子 ，什 么 firewall，IDS，IPS，管 它 的 。MSaccL~8与 Mysql是 由于 功 能 容 。有非常高 的价值 。我 曾经不止一 有用没用 ，全给加上 ，我们 曾经见过 实在太简单 了，没办法作很 多事情 ， 次 的看见过把 用户名与密码 写在这 一 个 WEB server前加俩 防火墙 的例 但 db2与 infomfix没 有加 进 去 我就 些文件 中。最重要 的是往往可 以通 子 。在 这种情 况下，很 多的攻击手段 有 点想不通 了，我估计大概 的原 因 过这些文件看到源代码 ，为进一步 都 无 法 使 用 ．特 别 是 bufferoverflow 是这两种 database应用不广 。 的攻击做好准备 。 的手段 几乎没有用武之地 ，现在管 最 后 强 调 一 点 ，数 字 类 型 的 (6)CSS攻击 。在远程 WEB 页 理 员 的安全水准 也有较 大 的提 高 ， SQL I~ecfion的应 用要 比字 符类 型 面 的 hun／代码 中插入 的具 有 恶意 靠几个扫描器扫扫就 能骗钱 的时代 的要 广泛得多 ，就 其原 因 ，是因为字 目的的数据 ，用户认 为该页面是可 已经一去不复返 了。那么 ，现在而今 符类型 的 SQL I~ecdon需要加入 特 信赖 的，但是 当浏览器下载该 页面 ， 眼 目下 。什么 东西 的安全是最有用 殊字符 ’，这个 目前很多 网站是 通过 嵌 入其 中 的脚 本 将被 解释 执行 ，可 与最可 能 出问题 的，答案是 WEB应 种种 方法 (IIs加 上 lockdown，apache 以用来偷取 cookie． 用程序 的安全性 。这部分程序大 多 加上 mod_security)过滤掉 了 。 (7) 反 向 的 proxy 。Web proxy 是 客 户 自己开 发 的 ，客 户 自己程 序 (2)TrustC~ent．过分 的相 信客 servers往 往 是双 向的 。即 允许 内部 员 的素 质 与 开发 web server，web ap— 户端会造成灾难性 的后果 。 目前 国 访 问外部 ，又允许外部访 问内部 ，双 plicationserver等 大 厂 商 的程 序 员 的 内的很 多 电子商务 网站是有很 多这 向的 proxy可能产生严重 的后果 ，导 素质还是有很大差别 的 ，而 且客 户 样 的毛病 ，他 们利 用 javascript写 了 致 内部 的重要文档流失 ，利用方法 在 开发过程 中对安全 问题 的测试往 很 多 的脚 本 放 到 客 户 的本 地 去执 把它设为你 的浏览器 的proxy，再去 往很忽视 ，这会造成极大 的安全 问 行 ，其实有恶意 的攻击者可 以很方 尝试访 问你知道 的 内部地址 。当然 题 。我们 曾经对 一些 电子商务 的网 面 的跳 过他 这样设置 的陷阱 。只需 也可 以利 用 某 些 ap