本文共 1026 字,大约阅读时间需要 3 分钟。
1.1身份验证
1.2会话管理 1.3访问控制2.1输出的多样性
2.2输入的处理方法 2.3 边界确认3.1处理错误
3.2维护审计日志 3.3发出警报 3.4应对攻击1.身份验证
主要是用户加密码的验证方式,攻击者可以利用逻辑缺陷绕过密码或者暴力破解密码,与身份验证有关功能存在非法访问敏感数据的功能。 2.会话管理 web应用程序会对每一个用户建立会话,并发放令牌,令牌常见方式有隐藏表单字段(hidden form field)或URL查询字符串传送(token)以及cookie方式。 对于攻击者而言,令牌被攻破,就可以伪装成被攻破的用户,获得被攻破用户的访问权限。 3.访问控制 很多路径文件未进行访问权限设置,使得攻击者可以查看一些隐秘的文件,进行进一步的攻击输入含有大量未被识别的字符串,很多输出的字符串会被利用,进行注入型攻击
拒绝已知的不良输入,比如SLECT被阻止,使用Select接受已知的正常输入,设定白名单,但是白名单的设置逻辑上会存在漏洞,比如有些人的姓名包含、/等净化,比如在危险字符植入应用程序转化成HTML编码,这是防跨站点脚本攻击的主要方法安全数据处理,使用更安全的方法处理用户数据,简单来说就是从代码层面解决问题,比如在访问数据库时使用参数化查询,避免sql注入语法检查,
就是系统的每一个组件都将其输入当做含有恶意数据的输入来对待
攻击者可以利用程序报错信息,从程序获得敏感信息,比如sql版本,http版本
日志会记录很多攻击的攻击信息,但是一般攻击者都会删除攻击痕迹
应用反常,收到单一IP的大量请求
交易异常,账户转入转出异常 请求包含攻击注入类字符串 请求中普通用户无法查看的数据被修改身份验证程序太薄弱
管理功能未覆盖全访问控制 用户提交的数据未加密,用户点击了跨站点脚本,用户信息就会被盗取 管理功能可以处理危险的操作,访问磁盘文件或者使用操作系统命令,管理功能被攻破,使得攻击者可以渗透整个系统提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
转载地址:http://jttzi.baihongyu.com/