摘要:
随着全球信息化浪潮的涌动,全国上下掀起了一股信息网络的建设热潮,各地纷纷兴建信息 网络平台,组织建设信息港工程,以期在知识经济时代到来之际占有一席之地。殊不知“创业 难,守业更难”,网络平台可以短时间内建设好,信息源也可以挂接上来,但随之而来的维护 和安全管理问题却不是一朝一夕的事情。 很多地方在网络工程上马时,工程主要由一些网络集成公司负责,而网络真正的维护管理人 员却并没有参与进来,使得网络工程交接时,由于缺乏对系统的了解,造成维护管理工作只是浮 于表面。目前,有的地方信息网络平台已遭到了“黑客”的攻击,并造成了一定的损失。倒不是 所有“黑客”的水平都很高,很多时候是由于网络管理人员在.. 阅读全文
摘要:
恶意文件的执行是另外一种应用输入失控制导致的弱点。在这个系列文章中的第四篇,Tom Olzak将解释恶意代码执行的本质以及对防止Web应用免遭相关袭击的一些建议。恶意文件执行,在OWASP Top Ten中也叫远程文件包含不安全,是一种由于直接使用或将未经确认的输入串联成文件或流函数造成的漏洞。许多Web应用程序中都存在这种漏洞,但我们可以通过着重于保证合理软件担保水平的编码步骤和技巧来预防这种脆弱性。工作原理利用这种脆弱性的攻击者主要寻找无法禁止或控制上传文件执行的Web应用程序。PHP 4.0.4——5.x在默认情况下易于受到这种攻击。其它应用环境,如.NET和J2EE,如果允许文件上传并 阅读全文
摘要:
这里我将向大家介绍位于列表第二位的注入式漏洞。首先我们会简要介绍一下注入式攻击,然后深入分析SQL注入式攻击。因为SQL注入式攻击是企业Web应用程序最容易遭受的攻击类型。什么是注入式缺陷?简单地讲,注入式缺陷可依让攻击者通过“巧妙”的内容输入来改变应用程序的执行动作。比如改变接入控制,允许攻击者创建、修改、删除或者读取任何该应用程序可以读取的数据。根据OWASP的说明,最糟的情况可以使得Web应用程序彻底崩溃。注入式缺陷是由于程序开发人员对于用户输入的字符内容的假定过于简单而引起的。程序员没有考虑到用户可能会输入一些含有语义性内容的字符串,或者程序员没有对Web程序的输入内容进行全面有效的审 阅读全文
摘要:
跨站点脚本是Web程序很常见的漏洞,不论是个人用户还是商业用户,都会由于这种漏洞而遭受攻击。这里我们将详细介绍跨站点脚本的脆弱性,以及由此使得个人用户和企业用户所面临的风险。最后还会介绍如何消除或者抵御这类攻击。我们将着重介绍Web应用程序中最大的脆弱性领域――跨站点脚本(XSS)。XSS的脆弱性由来已久,然而,随着越来越多的蠕虫和病毒利用这一脆弱性进行破坏活动,企业系统中与XSS相关的安全风险也越来越明显。什么是XSS?XSS漏洞一般出现在可以注入代码的Web程序中。利用这一漏洞的脚本可能来自服务器,但是并不在服务器上执行,而是在客户端的工作站上执行。目前有三种基本的XSS漏洞攻击:映射,存 阅读全文
摘要:
OWASP一直在更新它的10大脆弱性排名。先前已有发表有关2004年OWASP十大排名的文章,这里笔者想深入探究这些OWASP相信会给网络应用环境带来最高风险的10大脆弱性。在该系列的第1部分中,我给出了2004年的OWASP 10大脆弱性列表。 那篇文章不久,我收到了一封来自Andrew van der Stock,OWASP的执行理事的电子邮件。信中他叫我关注即将修订的新列表。OWASP计划在三月份发布2007年10大脆弱性清单。因 此,现在我也要修订一下我的这个系列,把2007年的脆弱性包括进来。 2007年OWASP的10大排名2004和2007年的名单有些类似,见表A。其中,未经验证 阅读全文
摘要:
OWASP 10要素增强Web应用程序安全(1)随着Web应用程序的增多,随之而来的就是这些Web应用程序所带来的安全漏洞。不遵从规范化的编码指导,会使企业、员工以及企业的客户面对严重的安全风险,遭到各种恶意攻击。 我们将向大家介绍Open Web Application Security Project(开放式Web应用程序安全项目,OWASP)10要素,以及OWASP建议大家在软件开发生命周期中应该嵌入的标准化方法。 商业风险现在的企业都在向客户提供通过浏览器访问企业信息的功能,同时集成Web服务的应用程序也越来越多,这些都导致企业所面临的风险不断增加。这并不代表开发人员没有认真的对待程序 阅读全文
