当前位置: 移动技术网 > 网络运营>安全>企业安全 > WEB应用脆弱性防止策略 常见的16种WEB攻击以及解决方案

WEB应用脆弱性防止策略 常见的16种WEB攻击以及解决方案

2018年03月07日  | 移动技术网网络运营  | 我要评论

事实上,web应用是很脆弱的。因为这种应用的灵活性很大,用户输入的自由度也很高,所以对于web应用的恶意攻击也比较容易。
本文对常见的16种web攻击,给出了部分解决方案。
1. sql注入(sql injection)
对于固定的sql语句,一般在应用程序层不做处理,推荐添加一个包装类,把这些固定的sql操作控制起来。
而对于动态生成的sql语句,就需要对用户的输入进行处理,一般的处理是把【'】转换成【“】 。
如:
       abc”def”ghi’jkl’mno →abc”def”ghi’’jkl’’mno
2. 跨站点脚本攻击(xss,cross site scripting)
如果用户输入,url参数在页面上表示时,必须对特殊文字进行过滤处理。
   2-1 如果用户输入和url参数中含有下列敏感文字,则删除 之:
                           script  object embed applet
   2-2 如果用户输入和url参数中含有下列敏感文字,则转换 之:
            &    →    &
            <    →    &lt;
            >    →    &gt;
            “     →    &quot;
            ‘      →    &#39;
3. 操作系统命令注入(os command injection)
  要尽量避免执行系统命令,如果非使用不可的话,要对以下的用户输入或者参数做处理:
        | ! & `      命令执行总要使用的字符
        “ ‘            字符串的区分字符
        / -            命令参数指定时使用的字符
        “. / ¥       目录指定时使用的字符
        < >          文件操作是使用的字符
        $             环境变量指定时使用的字符
        ( { [ ] } )   命令间的区分字符
4. 换行字符注入(line feed code injection)
   在用户的输入信息中,检查是否不包含【0x0d】【0x0a】 这种换行的输入。
5. ldap注入(ldap injection)
   在ldap使用的场合,要检查用户输入信息中,是否不包含下列ldap的保留字:
    (    )     *    ¥    null
6. xpath注入(xpath injection)
   在xpath使用的场合,要检查用户输入信息中,是否不包含下列xpath的保留字:
    <    >    “    ‘    &
7. ssi注入(ssi injection)
    检查用户输入中,是否不包含ssi相关的危险关键字。
8. 目录遍历(directory traversal)
    检查用户输入中,是否不包含访问文件系统的特殊文字【/】 和【\】 。
9. 强制浏览(forced browsing)
    这种攻击的防止比较复杂,一般的策略是:
 验证请求是否是从合法的页面发送而来的,一般是检查请求的referer。
 用户授权控制,认证认可
   对于静态资源来说,web程序是无法防止这种强制浏览攻击的,只有通过设置中间件(如web服务器)来防止:
 对公开化网站目录的设定(比如在站点目录下禁止显示文件列表)
 在url中指定目录的时候,必须提供index文件(如等)
 对于下载文件的存放位置,要特别谨慎的设置
10. 跨站点请求伪装(cross site request forgery)
    明确页面的操作流程,对于不符合操作流程而来的请求进行过滤。
11. 不正确的文件和目录分配(invalid allocation of files and directories)
  不公开的配置文件,备份文件,数据文件等,不要在站点的公共目录(webroot或者www/htdocs)下存放
  web应用程序使用的库文件,不要再站点的公共目录下存放。
    适合在公共目录下存放的资源如下所示:
     /var/www/htdocs/
                        img/
                        css/
                        data/
                       
12. 不正确的错误处理(invalid error handling)
    一定要进行错误处理,错误处理的消息要显示为用户可理解的内容,不要把中间件(web服务器)的错误消息显示出来。
13. 不必要的信息(unnecessary information)
    比如在用户登陆时,提示的这样的错误信息【用户密码不正确】,从侧面就说明了系统中存在一个叫做【userid】的用户。这就为恶意攻击者提供了情报。
    所以,在处理系统显示的消息是,点到为止,不能暴露多余的用户细节。
14. 后门和调试选项(backdoor & debug option)
    避免特殊的密码输入和认证策略
    指定调试选项是,调试选项和程序的参数都可以改变和查看
    要做出测试专用的页面
    对于程序后门,可以通过代码复查力度强化来进行防止。
    而对于调试选择,要统一开发标准,使用统一的调试开关。
15. 客户端注释(client side comment)
    对于web应用来说,客户端可以通过浏览器直接看到页面的代码。发送到浏览器的代码中,可以开发者的注释。对于恶意攻击者来说,这些注释信息会暴露出web应用的很多细节。
    比如说下面所说的注释就应该引起关注:
    对于请求参数的注释
    javascript的内部逻辑的注释
    注释外的javascript内部逻辑和url请求
    对应策略如下:
    对于代码的注释,事先要有统一的代码规范
    尽量使用服务器端得注释标签,如jsp的【<%-- --%>】,这样的注释内容不会发送到客户端。
16. 缓冲区溢出(buffer over flow)
    如果用户输入中包含了超过服务器缓冲区大小的输入,很可能会导致服务器存储不足,甚至导致服务器停机。
    对策如下:
    一定要检查用户输入的大小
    文件上传是,对于上传文件的大小进行检查和限制。

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网