攻击应用程序框架.pptxVIP

攻击应用程序框架;攻击应用程序架构 分层架构问题 共享主机问题 攻击Web开发框架 MVC框架 框架的安全之道 框架自身安全 ;一个典型的三层架构;一个典型的Java应用程序架构;利用层之间的信任关系 比如数据库层完全信任访问控制层 比如操作系统层完全信任应用程序层 破坏其它层 比如加密秘钥与加密数据之间未进行逻辑隔离 比如路径遍历漏洞导致数据库文件被窃取 比如会用包含本地日志文件执行命令;访问机制问题 数据库访问隔离不充分 文件系统访问隔离不充分 应用程序间的攻击 Webshell SQLi、文件遍历、命令注入漏洞;访问机制问题 远程访问不安全 访问客户未隔离 应用程序攻击 预留后门 客户应用程序漏洞 ASP组件漏洞 ;克隆系统 云中的管理工具 功能优先 基于令牌的访问 Web存储;MVC框架;Django Templates h1hello, {{ name | escape }}!/h1 Velocity #SXML ($xml) #SJS($js);校验Referer 添加Token 在form表单中自动填入 Ajax中自动添加 Rails Protect_from_forgery : secret = “1234567890…..” Django django.middleware.csrf.CsrfViewMiddleware form action=“.” method=“post” {% csrf_token %} From Django.core.context_processors import csrf;CRLF注入问题 重定向URL验证问题 Cookie安全问题;ORM框架 动态变量 $value$ 静态变量 #value# Django Database API;Apache Struts2 /confluence/display/WW/Security+Bulletins Spring MVC Django;Thanks!