目前,企業開發的很多新應用程序都是Web應用程序,而且Web服務也被越來越頻繁地用於集成Web應用程序或與其進行交互,這些趨勢帶來的問題就是:Web應用程序和服務的增長已超越了程序開發人員所接受的安全培訓和安全意識的範圍。
隨着存在安全隱患的Web應用程序數量的驟增,Open Web Application Security Project (開放式Web應用程序安全項目,縮寫爲OWASP)總結出了現有Web應用程序在安全方面常見的十大漏洞,以提醒企業及其程序開發人員儘量避免它們給企業IT系統帶來的安全風險:
非法輸入 Unvalidated Input
在數據被輸入程序前忽略對數據合法性的檢驗是一個常見的編程漏洞。隨着OWASP對Web應用程序脆弱性的調查,非法輸入的問題已成爲大多數Web應用程序安全漏洞方面的一個普遍現象。
失效的訪問控制 Broken Access Control
大部分企業都非常關注對已經建立的連接進行控制,但是,允許一個特定的字符串輸入可以讓攻擊行爲繞過企業的控制。
失效的賬戶和線程管理 Broken Authentication and Session Management
有良好的訪問控制並不意味着萬事大吉,企業還應該保護用戶的密碼、會話令牌、賬戶列表及其它任何可爲攻擊者提供有利信息、能幫助他們攻擊企業網絡的內容。
跨站點腳本攻擊 Cross Site Scripting Flaws
這是一種常見的攻擊,當攻擊腳本被嵌入企業的Web頁面或其它可以訪問的Web資源中,沒有保護能力的臺式機訪問這個頁面或資源時,腳本就會被啓動,這種攻擊可以影響企業內成百上千員工的終端電腦。
緩存溢出問題 Buffer Overflows
這個問題一般出現在用較早的編程語言、如C語言編寫的程序中,這種編程錯誤其實也是由於沒有很好地確定輸入內容在內存中的位置所致。
注入式攻擊 Injection Flaws
如果沒有成功地阻止帶有語法含義的輸入內容,有可能導致對數據庫信息的非法訪問,在Web表單中輸入的內容應該保持簡單,並且不應包含可被執行的代碼。
異常錯誤處理 Improper Error Handling
當錯誤發生時,向用戶提交錯誤提示是很正常的事情,但是如果提交的錯誤提示中包含了太多的內容,就有可能會被攻擊者分析出網絡環境的結構或配置。
不安全的存儲 Insecure Storage
對於Web應用程序來說,妥善保存密碼、用戶名及其他與身份驗證有關的信息是非常重要的工作,對這些信息進行加密則是非常有效的方式,但是一些企業會採用那些未經實踐驗證的加密解決方案,其中就可能存在安全漏洞。
程序拒絕服務攻擊 Application Denial of Service
與拒絕服務攻擊 (DoS)類似,應用程序的DoS攻擊會利用大量非法用戶搶佔應用程序資源,導致合法用戶無法使用該Web應用程序。
不安全的配置管理 Insecure Configuration Management
有效的配置管理過程可以爲Web應用程序和企業的網絡架構提供良好的保護。
以上十個漏洞並不能涵蓋如今企業Web應用程序中的全部脆弱點,它只是OWASP成員最常遇到的問題,也是所有企業在開發和改進Web應用程序時應着重檢查的內容。
堵住十大安全漏洞 避免Web應用程序的安全風險
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
SQL注入(全面介紹)做爲一名程序員,你應該知道的!
隨着B/S模式應用開發的發展,使用這種模式編寫應用程序的程序員也越來越多。但是由於這個行業的入門門檻不高,程序員的水平及經驗也參差不齊,相當大一部分程
iteye_18970
2020-07-01 01:10:18
常見Web應用安全漏洞初探
在Internet大衆化及Web技術飛速演變的今天,在線安全所面臨的挑戰日益嚴峻。伴隨着在線信息和服務的可用性的提升,以及基子Web的攻擊和破壞的增長
iteye_18970
2020-07-01 01:10:07
acegi2.x
相關文章: acegi參考手冊(v1.0.4)[譯]-第三章 協助系統 JA-SIG(CAS)學習筆記3 推薦圈子: Pipboy 更多相關推薦
iteye_18970
2020-07-01 01:10:06
編寫你自己的單點登錄(SSO)服務
iteye_18970
2020-02-24 12:57:30
2007十大Web安全漏洞
iteye_18970
2020-02-24 12:57:30
測試Web應用程序是否存在跨站點腳本漏洞(XSS)
iteye_18970
2018-08-26 16:37:38
網站圖片防盜功能
iteye_18970
2018-08-26 16:37:38
Web Application Security
iteye_18970
2018-08-26 16:37:38
七種DDoS攻擊技術方法
iteye_18970
2018-08-26 16:37:38
使用Struts/Servlet開發項目的安全注意點!
iteye_18970
2018-08-26 16:37:36