- 1、本文档共43页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
安全攻击及防范
安全攻击及防范手册
版本1.0
8月
概述
介绍
当今世界,Internet(因特网)已经成为一个很关键基础平台,很多企业全部将应用架设在该平台上,为用户提供更为方便、快捷服务支持。这些应用在功效和性能上,全部在不停完善和提升,然而在很关键安全性上,却没有得到足够重视。伴随WEB技术应用范围越来越广泛,WEB技术相关安全漏洞越来越多被挖掘出来,而针对WEB站点攻击已经成为了最流行攻击路径。
很快前项目管理部对企业内外关键系统进行了一次安全隐患分析测试,并总结出了《企业安全测试问题分类及描述》汇报文档。本文针对此汇报中提到部分重大安全隐患问题逐一分析,并给出对应处理方案。
参考资料
《Java安全性编程实例》
《网站系统安全开发手册》
《企业级Java安全性(构建安全J2EE应用)》
WEB安全隐患及预防方法
会话标识未更新
描述
登陆过程前后会话标识比较,显示它们并未更新,这表示有可能伪装用户。初步得悉会话标识值后,远程攻击者有可能得以充当已登录正当用户。
安全等级
高。
安全风险
可能会窃取或操纵用户会话和cookie,它们可能用于模拟正当用户,从而使黑客能够以该用户身份查看或变更用户统计和实施事务。
处理方案
不要接收外部创建会话标识。
一直生成新会话,供用户成功认证时登录。
预防用户操纵会话标识。
请勿接收用户浏览器登录时所提供会话标识。
假如有验证码。验证码改用application存放。同时记得释放资源
技术实现
登陆界面和登陆成功界面一致时
修改后台逻辑,在验证登陆逻辑时候,先强制让目前session过期,然后用新session存放信息。
登陆界面和登陆成功界面不一致时
在登陆界面后增加下面一段代码,强制让系统session过期。
request.getSession().invalidate();//清空session
Cookiecookie=request.getCookies()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期
注意:
框架2.0已经修改了登陆验证类,登陆成功后会清理掉目前session,重新创建一个新session。通常使用框架2.0项目均可统一增加此功效。
不充足帐户封锁
描述
程序没有使用锁定功效,能够穷举密码,能够造成蛮力攻击,恶意用户发送大量可能密码和/或用户名以访问应用程序尝试。因为该技术包含大量登录尝试,未限制许可错误登录请求次数应用程序很轻易遭到这类攻击。
安全等级
高。
安全风险
可能会升级用户特权并经过Web应用程序获取管理许可权。
处理方案
请确定许可登录尝试次数(通常是3-5次),确保超出许可尝试次数以后,便锁定帐户。为了避免真正用户因帐户被锁定而致电支持人员麻烦,能够仅临时性暂挂帐户活动,并在特定时间段以后启用帐户。帐户锁定大约10分钟,通常见这么方法阻止蛮力攻击。
技术实现
提供锁定信息配置类,可依据项目特定需求修改此配置信息。
修改登陆验证逻辑,依据上面配置信息提供帐户锁定功效。
注意:
框架2.0已经实现了此功效,通常使用框架2.0项目均可统一增加此功效。
可估计登录凭证
描述
发觉应用程序会使用可预期认证凭证(比如:admin+admin、guest+guest)。攻击者很轻易估计用户名和密码,登录应用程序,从而获取未获授权特权。
安全等级
高。
安全风险
可能会升级用户特权并经过Web应用程序获取管理许可权。
处理方案
不应使用易于估计凭证(比如:admin+admin、guest+guest、test+test等),因为它们可能很轻易估计,可让用户不妥进入应用程序。
技术实现
只要养成良好习惯,果断不使用轻易估计名和密码,即可根本杜绝这类问题。
登录错误消息凭证枚举
描述
当试图利用不正确凭证来登录时,当用户输入无效用户名和无效密码时,应用程序会分别生成不一样错误消息。经过利用该行为,攻击者能够经过反复试验(蛮力攻击技术)来发觉应用程序有效用户名,再继续尝试发觉相关联密码。
安全等级
高。
安全风险
可能会升级用户特权并经过Web应用程序获取管理许可权。
处理方案
不管名和密码哪个错误,全部提醒一样消息。且同时加上登陆失败次数达成要求帐户锁定功效。
技术实现
不管名和密码哪个错误,全部提醒以下所表示一样消息:
一旦某个帐户连续登陆失败次数达成了要求数值,就会按配置时间被锁定,以下提醒:
如此一来,攻击者就没机会穷举帐户和密码了,这类攻击也就不可能发生了!
注意:
框架2.0已经实现了此功效,通常使用框架2.0项目均可统一增加此功效。
已解密登录请求
描述
经过HTTPPOST发送表单数据,这些数据将在HTTP报文中以明文形式
您可能关注的文档
- 秋思省公共课一等奖全国赛课获奖课件.pptx
- 生物工程有限公司热电建设项目招标文件模板.doc
- 深圳市实业有限公司总经理工作细则样本.doc
- 小学三级课程实施专项方案.doc
- 电缆拆除综合标准施工专业方案.doc
- 石油发展集团员工培训管理办法模板.doc
- 新版多媒体会议室系统规划设计方案书模板.doc
- 考勤管理规定模板样本.doc
- 联合工房临时用电招标文件模板.doc
- 电梯安装综合项目工程综合项目施工组织设计.doc
- 第十一章 电流和电路专题特训二 实物图与电路图的互画 教学设计 2024-2025学年鲁科版物理九年级上册.docx
- 人教版七年级上册信息技术6.3加工音频素材 教学设计.docx
- 5.1自然地理环境的整体性 说课教案 (1).docx
- 4.1 夯实法治基础 教学设计-2023-2024学年统编版九年级道德与法治上册.docx
- 3.1 光的色彩 颜色 电子教案 2023-2024学年苏科版为了八年级上学期.docx
- 小学体育与健康 四年级下册健康教育 教案.docx
- 2024-2025学年初中数学九年级下册北京课改版(2024)教学设计合集.docx
- 2024-2025学年初中科学七年级下册浙教版(2024)教学设计合集.docx
- 2024-2025学年小学信息技术(信息科技)六年级下册浙摄影版(2013)教学设计合集.docx
- 2024-2025学年小学美术二年级下册人美版(常锐伦、欧京海)教学设计合集.docx
文档评论(0)