深圳
网站建设公司怎样避免Web应用系统的脆弱性做好安全工作?
网站建设公司认为针对Web应用系统的安全威胁主要源于Web应用系统自身的脆弱性,指Web应用软件开发在架构设计、编码阶段引入的弱点。参照国际公开Web应用安全组织(OWASP)的Top 10,深圳
商城网站建设资深工程师将Web应用系统存在的严重脆弱性统计如下。
(1)用户输入验证不当
• 跨站脚本漏洞。由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤,允许用户在提交的数据中掺入HTML代码(最主要的是“>”“<”),然后未加编码地输出到第三方用户的浏览器,攻击者恶意提交代码会被受害用户的浏览器解释执行。攻击者可以利用 XSS 漏洞借助存在漏洞的 Web 网站转发攻击其他浏览相关网页的用户,窃取用户浏览会话中诸如用户名和密码(可能包含在Cookie里)的敏感信息,通过插入挂马代码对用户执行挂马攻击。
• 数据注入漏洞。主要是SQL注入漏洞,问题的成因在于对用户提交CGI参数数据未做充分检查过滤。用户提交的数据可能会被用来构造访问后台数据库的SQL指令,从而非授权操作后台的数据库,导致敏感信息泄露、破坏数据库内容和结构、甚至利用数据库本身的扩展功能控制服务器操作系统。
• 未验证的重定向。Web应用程序经常重定向至其他的网页和网站,并使用不受信任的数据来确定目标网页。如果没有适当的验证,攻击者可以将用户重定向至钓鱼网站或恶意网站,或者访问未经授权的网页。
(2)认证授权等自身安全管理漏洞
• 不安全地直接访问对象。由于网页应用实现上的问题,动态网页对用户提交的参数对应的后台数据是否具有访问权限未做充分验证,用户可以通过手工设置猜测其他用户的数据索引值(一般就是数据库中某个表的主键)及非授权地访问数据库中其他用户相关的存储信息。
• URL 访问控制不当。Web 站点可能包含一些不在正常应用系统数据目录树内的 URL 链接。攻击者可能通过猜测尝试访问可能的链接来获取非授权访问。
(3)会话管理漏洞
• 动态网页认证与会话管理不当。Web系统对用户访问的会话凭据处理可能存在漏洞,比如,单纯通过Cookie来标记识别用户会话,使用容易猜测的会话ID,允许暴力猜测会话ID,会话超时设置过长不自动撤销会话等。这类漏洞可能允许用户冒充其他用户获取非授权的访问。
• 跨站请求伪造。应用系统有XSS漏洞时,CSRF可以对XSS漏洞进行更高级的利用。利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码来劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。
(4)数据机密性隐患
• 不安全地进行数据存储。Web应用相关的一些敏感数据未进行安全存储,比如,密码数据以明文方式存放在数据库表里,通过利用SQL注入之类的漏洞就可以很容易地列举出来。
• 不安全的网络通信。HTTP协议本身是明文的,敏感数据,比如认证信息,安全传输只能借助外加的加密机制,而目前大多数的Web应用都不是加密的,只要攻击者可以嗅探网络数据分组就能获取大量的敏感信息,即使传输的是加密后的密码信息,也还存在重放攻击的威胁。
(5)异常处理漏洞
主要包括信息泄露和不恰当的错误处理。很多基于后台数据库的Web应用在出现错误时会输出过于丰富的信息,比如错误类型、出现错误脚本的绝对路径、网页主目录的绝对路径、出现错误的SQL语句及参数、软件的版本、系统的配置信息等。信息泄露漏洞本身可能并不太重要,但结合其他漏洞(比如SQL注入)可能会极大地提高攻击入侵的效率。
(6)安全审计漏洞
主要是指安全审计功能存在缺陷,包括缺乏有效的安全审计功能,无法对应用程序重要安全事件进行审计以及审计记录内容不完整等。
(7)配置管理脆弱性
• 服务配置不当。存在可能被攻击者利用的服务配置缺陷,例如存在不必要的默认文件和示例文件,使用默认账号和密码,文件目录权限设置不当,SSL设置错误等。
• 应用配置不当。存在可能被攻击者利用的应用配置缺陷,如启用了不安全的调试功能,导致攻击者绕过认证机制访问敏感信息或提升权限。
深圳商城网站建设公司统计针对Web应用的威胁有哪些
参照国际公开组织Web应用安全性协会(Web Application Security Consortium,WASC)的威胁分类WASC TC,Web类应用系统面临的主要威胁有如下几类。
(1)逻辑攻击
• 拒绝服务。攻击者可以编写脚本和程序,生成大量子进程,请求同一个URL并保持,消耗服务器的CPU、内存和连接数资源,使得合法用户无法正常访问。
• 功能滥用。攻击者滥用Web应用提供的功能(如邮件发送、密码恢复等)导致资源耗尽、访问控制机制被绕过、信息泄露等。最为常见的攻击方式有利用网站搜索功能访问不在正常网站数据目录树内的访问受限文件。
• 自动表单提交。攻击者使用表单提交工具,向登录、注册服务、邮件、账号维护等表单自动提交信息的恶意行为。
• URL跳跃。对Web程序不恰当的状态管理可能导致攻击者绕过页面正常访问顺序的攻击。
(2)认证绕过
• 暴力破解。因认证强度低于业务安全要求,攻击者可以通过穷举方式自动猜测用户登录身份凭证、会话凭证以及未公开目录及文件名。
• 认证绕过。绕过认证对敏感内容或功能进行非授权访问。
• 不安全的密码恢复机制。应用系统采用了不安全的密码恢复机制,攻击者可以通过暴力破解、安全问题猜测等手段绕过密码恢复机制,从而非法获得、更改或恢复他人的密码。
(3)授权绕过
• 非授权访问。因用户账号设计不合理,Web应用未能有效执行授权检查,攻击者可以违反安全策略,执行权限之外的功能或者访问权限之外的数据或功能。
• 身份凭证/会话预测。攻击者推断或猜测出会话凭证,劫持用户会话或仿冒用户,从而获得非授权访问。
• 会话重用。Web应用程序允许重复使用会话凭证或会话ID,导致攻击者冒充其他用户身份。
• 跨站请求伪造。攻击者挟持用户在当前已登录的Web应用程序执行非本意的操作。
(4)客户端攻击
主要包括跨站脚本攻击和URL重定向攻击。原理如前面所述。
(5)基于用户输入的攻击
• 溢出攻击。其主要原理是向应用程序提交恶意参数,以求写入或访问缓冲区之外的内存信息。主要包括整数溢出、格式化字符串攻击、缓冲区溢出。
• 注入攻击。主要包括SQL注入、SSL注入、XPath注入、LDAP注入。
(6)信息泄露
主要包括目录遍历攻击和URL猜测。还包括指纹泄露,指攻击者在实施攻击前收集应用程序信息,包括Web服务器软件类型及版本、Web应用程序编程语言(如ASP、.NET、PHP或Java等)、数据库类型及版本、Web服务等信息。
(7)恶意代码
恶意代码主要是指后门程序。好了,
深圳网站建设公司本文关于“怎样避免Web应用系统的脆弱性做好安全工作?”建站经验与知识就分享到这里。您如果需要你联系深圳商城网站建设公司为您量身定制电商网站,请拨打我们建站技术客服电话,为您提供安全快捷的商城网站建设方案。谢谢关注,博纳网络编辑整理。
