Web应用安全
Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过因特网和企业的Web应用交互,由Web应用和企业后台的数据库及其他动态内容通信。
尽管不同的企业会有不同的 Web 环境搭建方式,一个典型的 Web 应用通常是标准的三层架构模型。
由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。然而现实确是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web应用本身的安全,给黑客以可乘之机。
Web应用程序安全问题
随着互联网网络的发展,Web安全性越来越重要,Web产品本身具备自身的特点及弱点,不可避免的存在一定的风险,在风险控制环节安全问题尤为重要,以下常见的Web应用程序安全问题:
据国外研究机构统计其中跨站脚本漏洞、注入类问题、任意文件执行、不安全的对象直接引用分别占安全性攻击的25%、15%、10%、8%;
|
序号 |
内容 |
说明 |
|
1 |
跨站脚本漏洞 | Web应用程序直接将来自使用者的执行请求送回浏览器执行,使得攻击者可获取使用者的Cookie或Session信息而直接以使用者身份登陆 |
|
2 |
注入类问题 | Web应用程序执行在将用户输入变为命令或查询语句的一部分时没有做过滤,SQL 注入, 命令注入等攻击包括在内 |
|
3 |
任意文件执行 | Web应用程序引入来自外部的恶意文件并执行 |
|
4 |
不安全的对象直接引用 | 攻击者利用Web应用程序本身的文件操作功能读取系统上任意文件或重要资料 |
|
5 |
跨站请求截断攻击 | 已登入Web应用程序的合法使用者执行恶意的HTTP指令,但Web应用程式却当成合法需求处理,使得恶意指令被正常执行 |
|
6 |
信息泄露 | Web应用程序的执行错误信息中包含敏感资料,可能包括系统文件路径,内部IP地址等 |
|
7 |
用户验证和Session管理缺陷 | Web应用程序中自行撰写的身份验证相关功能有缺陷 |
|
8 |
不安全的加密存储 | Web应用程序没有对敏感性资料使用加密、使用较弱的加密演算法或将密钥储存于容易被获取之处 |
|
9 |
不安全的通信 | Web应用经常在需要传输敏感信息时没有使用加密协议 |
|
10 |
没有对URL路径进行限制 | 某些网页因为没有权限控制,使得攻击者可透过网址直接存取 |
猜你喜欢
