WEB安全性测试考虑的几个方面
来源:互联网 发布:mac口红日本官网 编辑:程序博客网 时间:2024/05/16 00:40
随着存在安全隐患的Web应用程序数量的骤增,Open Web Application Security Project (开放式Web应用程序安全项目,缩写为OWASP)总结出了现有Web应用程序在安全方面常见的十大漏洞,以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险:1. 非法输入 Unvalidated Input在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查,非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。
2. 失效的访问控制Broken Access Control大部分企业都非常关注对已经建立的连接进行控制,但是,允许一个特定的字符串输入可以让攻击行为绕过企业的控制。
3. 失效的账户和线程管理Broken Authentication and Session Management有良好的访问控制并不意味着万事大吉,企业还应该保护用户的密码、会话令牌、账户列表及其它任何可为攻击者提供有利信息、能帮助他们攻击企业网络的内容。
4.跨站点脚本攻击Cross Site Scripting Flaws这是一种常见的攻击,当攻击脚本被嵌入企业的Web页面或其它可以访问的Web资源中,没有保护能力的台式机访问这个页面或资源时,脚本就会被启动,这种攻击可以影响企业内成百上千员工的终端电脑。
5.缓存溢出问题Buffer Overflows这个问题一般出现在用较早的编程语言、如C语言编写的程序中,这种编程错误其实也是由于没有很好地确定输入内容在内存中的位置所致。
6.注入式攻击Injection Flaws如果没有成功地阻止带有语法含义的输入内容,有可能导致对数据库信息的非法访问,在Web表单中输入的内容应该保持简单,并且不应包含可被执行的代码。
7. 异常错误处理Improper Error Handling当错误发生时,向用户提交错误提示是很正常的事情,但是如果提交的错误提示中包含了太多的内容,就有可能会被攻击者分析出网络环境的结构或配置。
8.不安全的存储Insecure Storage对于Web应用程序来说,妥善保存密码、用户名及其他与身份验证有关的信息是非常重要的工作,对这些信息进行加密则是非常有效的方式,但是一些企业会采用那些未经实践验证的加密解决方案,其中就可能存在安全漏洞。9. 程序拒绝服务攻击Application Denial of Service与拒绝服务攻击 (DoS)类似,应用程序的DoS攻击会利用大量非法用户抢占应用程序资源,导致合法用户无法使用该Web应用程序。
10.不安全的配置管理Insecure Configuration Management有效的配置管理过程可以为Web应用程序和企业的网络架构提供良好的保护。
以上十个漏洞并不能涵盖如今企业Web应用程序中的全部脆弱点,它只是OWASP成员最常遇到的问题,也是所有企业在开发和改进Web应用程序时应着重检查的内容。
0 0
- WEB安全性测试考虑的几个方面
- WEB的安全性测试主要从以下方面考虑:
- 安全性测试应从哪几个方面去考虑?
- CakePHP: 安全性方面的考虑
- 软件的安全性应从哪几个方面去测试?
- Web系统的安全性考虑
- web安全性考虑的几方面
- 测试的几个方面
- 程序员转型应该考虑的几个方面
- 系统开发应该考虑的几个方面
- 前端优化,需要考虑的几个方面
- 提高应用程序安全性应该考虑的10个方面
- 关于AIX系统文件安全性方面的几点考虑
- AIX系统文件安全性方面的几点考虑
- J2ee Web系统安全性的考虑
- WEB的安全性测试要素
- 教育投入可以多加考虑的几个方面
- 选择GPS 方案所应考虑的几个方面
- Android 静默安装 总结备忘
- abercrombie fitch 2011
- PRML 1 INTRODUCTION
- Xcode 5 单元测试(二)OCMock和GHUnit
- 第十周项目4-大奖赛计分1
- WEB安全性测试考虑的几个方面
- [Nginx]配置优化详解
- 学习笔记-实验楼项目课(Linux桌面字典)
- Linux相关问题-CentOS6.5 x64版本下Tomcat无法自启动的解决办法
- Reason for - List list = new ArrayList();
- Salesforce: Buttons - Mass delete / get ids / show google maps
- 堆和栈的区别(转过无数次的文章)
- oracle内存的学习
- Xcode 5 单元测试(一)使用XCTest进行单元测试