大多数Web应用程序使用三层相互关联的安全机制处理用户访问:
* 身份验证
* 回话管理
* 访问控制
(1)身份验证 就是我们常用的输入用户密码,但是这其中存在很多漏洞和缺陷。
(2)几乎所有的web应用程序都为每一位用户建立一个回话,并向用户发布一个小时会话的令牌。会话本身是一组保存在服务器上的数据结构,用于追踪用户与应用程序的交互状态。令牌是唯一的字符串,应用程序将其映射到会话中,当用户收到一个令牌时,浏览器会在随后的HTTP请求中将它返
回给服务器,帮组应用程序将请求与该用户联系起来,虽然许多应用程序使用隐藏表单字段或URL查询字符串传送会话令牌,但HTTP cookie才是实现这一目的的常规方法,如果用户在一段时间内没有发出请求,会话将会自动终止。
(3)访问控制,用户只允许访问应用程序中的部分数据。
处理用户的输入
(1) 拒绝已知的不良输入。 一般使用黑名单制,黑名单中时常见的攻击字符串,如果匹配,则拒绝该用书的输入。
(2) 接收已知的正确输入,使用白名单其中包含仅与良性输入匹配的一组字面量字符串,模式或一组标准。确认机制接收任何与白名单匹配的数据。
(3)净化,
(4)安全数据处理。不需要确认输入本身,只需确保处理过程绝对安全。
(5)语法检查,
边界确认
(1)应用程序收到用户的登录星系,表单处理程序确认每个输入仅半酣合法字符,符合特殊的长度限制,并且不包含任何的已知的攻击签名。
(2)应用程序执行一个SQL查询检验用户证书,为防止SQL注入攻击,在执行查询前,应用程序应对用户输入中包含的可用于攻击数据库的所有字符进行转义。
(3)如果用户成功登陆,应用程序再将用户资料中的某些数据传送给SOAP服务,进一步获得用户账户的有关信息,为防止SOAP注入攻击,需要对用户资料中的任何XML元字符进行适当编码。
(4)应用程序在用户的浏览器中显示用户的账户信息,为防止跨站点脚本攻击,应用程序对植入返回页面的任何用户提交的数据执行HTML编码。
分享到:
相关推荐
而传统的边界安全设备,如防火墙,作为整体安全策略中不可 缺少的重要模块,针对Web应用攻击完善的防御能力还不十分有效。面对Web应用层面这 类给Internet可用性带来极大损害的攻击,必须采用专门的机制,综合采用...
火龙果软件工程技术中心 本文内容包括:引言深度防御如何工作核心层方案1:技术Web服务硬件缺省检测程序Web服务更改检测程序Web服务安全策略核心层方案2:策略和过程多级深度防御流程协调结束语了解深度防御可以如何...
学校数据中心是一个高技术的系统工程,要实现各业务系统的功能和性能,又要采取 先进的安全技术,还要对已建立的系统实施有效的安全管理,在进行安全技术基础设施 建设时应注意建立配套的运行管理机制和安全规章制度...
使用这个单独的代理服务器,尽可能不要危害到当前的安全配置并且可以实施更严格 的安全机制如认证。这个单独的代理服务器就是一台_________()[单选题] * A.单宿主堡垒主机 B.多宿主堡垒主机 C.单目的堡垒主机(正确...
主动防御和被动检测-恢复机制相结合最 终构成纵深防御的系统设计思想,确立了以文件过滤驱动结合事件触发 机制为核心技术的网页审计保护系统的设计方案。 上海交通大学 硕士学位论文
,因此目前网络任何一款Web安全扫描程序都存在对大量文件进行扫描时极度占用服务器资源,并且容易在执行过程中导致IIS进程 假死从而影响网站运行。针对此现象,本程序首创缓冲扫描机制,利用Ajax技术对文件进行队列...
这个是IOCP远程控制软件的模型,服务端运行后会自动发送本机信息到客户端,客户端采用IOCP重叠机制。 IOCP封装类(DLL)发布 主要是CIocpSrv"伪类",实际上还是调用的DLL, IOCP完成端口 IP所在地查询器 jpeglib_demo...
这个是IOCP远程控制软件的模型,服务端运行后会自动发送本机信息到客户端,客户端采用IOCP重叠机制。 IOCP封装类(DLL)发布 主要是CIocpSrv"伪类",实际上还是调用的DLL, IOCP完成端口 IP所在地查询器 jpeglib_demo...
这个是IOCP远程控制软件的模型,服务端运行后会自动发送本机信息到客户端,客户端采用IOCP重叠机制。 IOCP封装类(DLL)发布 主要是CIocpSrv"伪类",实际上还是调用的DLL, IOCP完成端口 IP所在地查询器 jpeglib_demo...
这个是IOCP远程控制软件的模型,服务端运行后会自动发送本机信息到客户端,客户端采用IOCP重叠机制。 IOCP封装类(DLL)发布 主要是CIocpSrv"伪类",实际上还是调用的DLL, IOCP完成端口 IP所在地查询器 jpeglib_demo...
这个是IOCP远程控制软件的模型,服务端运行后会自动发送本机信息到客户端,客户端采用IOCP重叠机制。 IOCP封装类(DLL)发布 主要是CIocpSrv"伪类",实际上还是调用的DLL, IOCP完成端口 IP所在地查询器 jpeglib_demo...
这个是IOCP远程控制软件的模型,服务端运行后会自动发送本机信息到客户端,客户端采用IOCP重叠机制。 IOCP封装类(DLL)发布 主要是CIocpSrv"伪类",实际上还是调用的DLL, IOCP完成端口 [1]---选择 - Select [2]异步...