知己知彼,方能百战百胜。在提升Web服务安全性的同时,需要先了解Web服务自身的弱点。然后再根据弱点来采取对应的措施。在这篇文章中,笔者就将根据自己的工作经历,分析一下Web服务的弱点,并且这些弱点是容易被人用来进行攻击的。相信这些内容对于大家提高Web的安全性会有很大的帮助。
弱点一:不可靠的默认值
在Web应用程序设计时,为了提高用户的输入效率,会设置比较多的默认值。但是这些默认值是把双刃剑。即可以提高用户输入的速度,但是也会影响Web应用程序的安全性。举一个简单的例子。Web
可见,为Web应用程序设置默认值时,并不怎么可靠。为此笔者建议,对于一些关键的应用,如端口、管理员帐户名、密码等信息最好不要采用默认值。这会降低Web应用程序的安全性能。
弱点二:关键信息没有采取加密处理
笔者以前研究过一款Compiere的ERP系统,其有B/S与C/S两种架构。在登陆的时候,需要用户输入用户名与密码。在输入这个信息的时候,密码采用了掩码的形式,这确实可以起到一定的保护效果。但是用户名在后台数据库中存储的,以及从网页客户端传输到应用
无论是在数据库
了解这个基本的原则之后,那么管理人员就需要关注,该选择使用哪种加密技术。选择的加密技术的不同,直接影响到Web服务的安全性。但是需要注意的是,加密技术也是一把双刃剑。一般来说,在同等条件下,加密级别越高,其需要的资源开销也就越大。简单的说,加密的级别与系统的性能是成反向变动的。
弱点三:Web服务的溢出
这是最传统的、也是危害最大的一个弱点。最早遭受破坏的、且仍旧普遍的攻击来源于开发人员对最终用户输入的数据的可信任假设。其实这种假设是非常危险的。我们做安全的人员,应该保持一种执业的怀疑态度。即将用户假设为攻击者。只有如此,才能够做好安全工作。但是不少开发人员没有这种安全意识。举一个简单的例子。如果一个用户了解PowerPoint文件格式的相关内容,他们就可以利用文本编辑器来编写一个PowerPoint的文件。编辑的工作相当简单,只是让内部字段中拥有的数据比系统允许的更多的数据,此时就会导致系统崩溃。然后攻击者就可以执行任何想要执行的程序。这种攻击手段就叫做溢出攻击。其适用于大部分Web
简单地说,溢出性攻击是由于将太多的数据放入原始程序设计人员认为足够的空间中导致。额外的数据溢出将包存储到附近的
对于Web服务来说,需要特别注意缓冲区溢出攻击。在缓冲区溢出攻击实例中,程序的内部值将会被溢出,从而改变程序的运行方式。在应用程序的正常操作过程中,当调用一个函数时,被调用函数的所有参数以及返回位置的指针就会被存储在
可见,溢出这个弱点,对于Web服务来说是非常致命的。不过要弥补这个漏洞难度也不是很大。一般来说,开发人员只需要在开发过程中做好相关的检查工作,就可以弥补。如在文本框中,在用户保存数据之前进行必要的检查。包括数据类型、数据中是否包含着不允许的特殊字符等等。这也就是说,在开发Web应用程序的时候,应该对用户保持必要的怀疑态度。只有如此,才会去思考如何来检验用户的数据。这么操作完成之后,就可以在很大程度上避免溢出攻击,提高应用
弱点四:SQL注入式攻击
SQL注入式攻击漏洞是与缓冲区溢出攻击,可以称兄道弟。除了溢出弱点,SQL注入是另一类依赖于开发人员没有测试输入数据而导致的攻击。如大多数人拥有字符数字或者秘密,或者有安全意识的人,拥有附带其他
SQL注入式攻击的原理非常的简单。在网络上关于其的资料也有一大把。为此笔者不在这里过多的阐述。笔者只是强调一下,在开发Web应用程序时,SQL注入式攻击应该引起开发人员的重视。采取积极的措施来消除这个弱点。
根据以前的攻击案例,可以知道这个弱点是针对Web应用程序最有效的攻击手段之一。而且随着大家对Web应用程序信任的增加(如网上转帐等业务的应用),其危害性也就越来越大。
其实要防止这个攻击也比较简单。主要就是应用程序在开发时,要加强对用户输入数据的检测。如对于用户输入字符的长度、字符的格式等等内容进行比较严格的限制,并在用户输入数据后、保存数据之前进行严格的检查。只要做好输入检查这一段,基本上就可以消除这个弱点所带来的安全威胁。
• 中国角型毛巾架行业运营态势与投资潜力研究报告(2018-2023)
• 中国直接挡轴市场深度研究及投资前景分析报告(2021-2023)
• 2018-2023年KTV专用触摸屏市场调研及发展前景分析报告
• 中国回流式高细度粉碎机市场深度调研与发展趋势预测报告(2018-2023)
• 2018-2023年中国原色瓦楞纸行业市场深度研究及发展策略预测报告
• 中国雪白深效精华液市场深度调研及战略研究报告(2018-2023)
