SaaS常见网络攻击防范的研究.pptVIP

* * * * * * * * * * * * * * SaaS特色之供应商和租户 租户和供应商的用户帐号分别存储，使用不同的登陆接口 供应商登陆 租户登陆 SaaS特色之权限管理 一、超级管理员可以管理租户管理员 二、租户管理员可以管理普通用户、 租户管理员批准审核普通用户的申请 研究结论 XSS攻击的防范： 采用先循环过滤JavaScript关键字，再过滤html属性、JavaScript属性、CSS属性以及URL中的16进制转码字符，经过再一次过滤JavaScript关键字后对等进行html实体转义的防范休系。 以上防范措施证明 是有效的 研究结论 CSRF攻击的防范 为每个表单添加一个隐藏的域，并且赋值为加密过的Security token; 每个合法链接都包含一个security token。Security token是根据租户ID、用户名和密码，以及每次随机生成的字符串作为加密对象，使用sha-1算法加密。 每个用户每个表单和请求对应不同的security token,每次用户重新登陆时，更新自己的security token HTTP响应拆分攻击的防范 过滤用户请求中ContentType和Set-Cookie字段中的