WEB应用安全之常见安全漏洞
来源:互联网 发布:蓝牙听歌软件 编辑:程序博客网 时间:2024/05/28 15:06
信息安全三要素:保密性、完整性、可用性
(1)保密性(Confidentiality)
即保证信息为授权者享用而不泄漏给未经授权者。
(2)完整性(Integrity)
即保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等。
(3)可用性(Availability)
即保证信息和信息系统随时为授权者提供服务,保证合法用户对信息和资源的使用不会被不合理的拒绝。
(4)可控性(Controllability)
即出于国家和机构的利益和社会管理的需要,保证管理者能够对信息实施必要的控制管理,以对抗社会犯罪和外敌侵犯。
(5)不可否认性(Non-Repudiation)
即人们要为自己的信息行为负责,提供保证社会依法管理需要的公证、仲裁信息证据。
漏洞:硬件、软件、协议等信息系统组件在生命周期的各个阶段(设计、实现、运维等过程)中的安全缺陷、这些缺陷会对系统的安全(保密性、完整性、可用性)产生影响。如:对数据篡改、控制等等。
渗透测试
黑盒测试:在授权的情况下,模拟黑客的攻击方法和思维方式,来评估计算机网络系统可能存在的安全风险。
白盒测试:相对黑盒测试,白盒测试基本是从内部发起,主要是代码审计
SQL注入
由于程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL注入
SQL注入修复方法
绑定变量使用预编译语句(参数化查询),SQL server、MySQL、Oracle 均支持参数化查询。
特殊情况可以使用数据类型检查的方式,整形则强制转换,字符型则过滤非法字符,例如 ,) " ' = 空格 等(PHP可使用mysql_real_escape_string)
XSS
恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响(如钓鱼、盗取cookie)。这类攻击通常包含了HTML以及客户端脚本语言。
硬件、软件、协议等信息系统组件在生命周期的各个阶段(设计、实现、运维等过程)中的安全缺陷,这些缺陷会对系统的安全(机密性、完整性、可用性)产生影响。如,对数据进行篡改,控制等。
硬件、软件、协议等信息系统组件在生命周期的各个阶段(设计、实现、运维等过程)中的安全缺陷,这些缺陷会对系统的安全(机密性、完整性、可用性)产生影响。如,对数据进行篡改,控制等。
硬件、软件、协议等信息系统组件在生命周期的各个阶段(设计、实现、运维等过程)中的安全缺陷,这些缺陷会对系统的安全(机密性、完整性、可用性)产生影响。如,对数据进行篡改,控制等。
阅读全文
0 0
- WEB应用安全之常见安全漏洞
- 常见Web应用安全漏洞
- 识别常见的Web应用安全漏洞
- 常见Web安全漏洞
- Web服务器常见安全漏洞
- 常见的WEB安全漏洞
- (转)常见Web安全漏洞
- 常见的WEB安全漏洞
- web常见安全漏洞
- 常见应用安全漏洞
- 识别常见Web应用安全漏洞 有效防止入侵
- Web应用安全漏洞摘要
- web应用安全防范(1)—为什么要重视web应用安全漏洞
- Web应用安全之CSRF
- Web服务器常见8种安全漏洞
- Web服务器常见8种安全漏洞
- Web开发常见安全漏洞解决方法【简化版】
- 常见安全漏洞
- HDU-4287 Intelligent IME (Trie 字典树 入门题)
- 安装 Ionic 运行环境
- JSP中Cookie的创建、获取、清除新手教程
- mysql语句中的Delete、Drop、Ttuncate的区别
- Pulling repository registry.develop.ecloud.com.cn/develop/tomcat Error: image develop/tomcat not
- WEB应用安全之常见安全漏洞
- 常用加密工具
- Linux下的lds链接脚本简介(四)
- 安卓使用Gson转化为Json数据出现中文乱码的解决方式
- event事件相关和window对象json字符串对象之间转换
- 1.1.Qt程序发布注意事项
- pycharm快捷键、常用设置、配置管理
- HDU 1045 Fire Net【深搜】
- redis in action.pdf(英文原版) 免费下载