第二章 核心防御机制
2018-11-27 14:45:29 0 举报AI智能生成
第二章 核心防御机制
作者其他创作
大纲/内容
处理用户输入
输入的多样性
输入处理方法
拒绝已知的不良输入
接受已知的正常输入
净化
安全数据处理
语法检查
边界确认
应用程序收到的用户登录信息
应用程序执行一个SQL查询检验用户的证书
用户登录成功后再发送数据给SOAP服务
应用程序在用户浏览器显示用户的账户信息
多步确认与规范化
递归执行净化操作
管理应用程序
身份验证机制中存在的薄弱环节使攻击者能够获得管理员权限
许多应用程序并不对它的一些管理功能执行有效的访问控制
管理功能通常能够显示普通用户的提交数据
管理用户往往没有进行过充分的安全测试
问题
为什么说应用程序处理用户访问的机制是所有机制中最薄弱的机制
会话与会话令牌有何不同
为何不可能始终使用基于白名单的方法进行输入确认
攻击者正在攻击一个执行管理功能的应用程序,并且不具有使用这项功能的任何有效证书。为何他仍然应当密切关注这项功能呢
5. 旨在阻止跨站点脚本攻击的输入确认机制按以下顺序处理一个输入
(1) 删除任何出现的<script>表达式;
(2) 将输入截短为50个字符
3) 删除输入中的引号;
(4) 对输入进行URL解码;
(5) 如果任何输入项被删除,返回步骤(1)
是否能够避开上述确认机制,让以下数据通过确认?
“><script>alert(“foo”)</script>
“><script>alert(“foo”)</script>
处理用户访问
身份验证
会话管理
访问控制
处理攻击者
处理错误
维护审计日志
向管理员发出警报
应用反常
交易反常
包含已知攻击字符串的请求
请求中普通用户无法查看的数据被修改
应对攻击
小结
职业: Data Analyst
0 条评论
下一页
