下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、信息系统安全与对抗实践技术(上)Web内容提要Web的技术全 因输出值转义的安全漏洞2Web的技术 HTTP协议本身不存在安全性问题,应用HTTP协议的服务器和客户端,以及运行的服务器上的Web应用等 HTTP不具备必要的安全功能才是的目标。- 不具备会话(session)管理、加- 与SSH协议对比 在客户端即可篡改请求理等安全性功能Web应用的模式- 主动-(sql注入(Xss、os命令注入)、CSRF)3因输出值转义 客户端验证 Web应用端验证全的安全漏洞4因输出值转义全的安全漏洞 跨站(Cross-Site Scripting, XSS)- 指在浏览存在安全漏洞的Web或JavaSc
2、rip代码的一种的用户的浏览器内,运行的HTML。动态创建的HTML部分有可能隐藏着安全漏洞, 会受到- 造成的危害者编写。设下陷阱,用户在的浏览器上运行时,就 利用虚假输入表单骗取用户个人信息 利用窃取用户的Cookie值,或利用用户当前所拥有的的权限,在用户不知情的情况下执行一些用户的键盘输入操作5因输出值转义全的安全漏洞 SQL注入- 指(SQL Injection)Web应用使用的数据库,通过运行的SQL语句而产生的。该漏洞可能- 造成的危害极大的威胁,有时会直接导致个人信息及信息的泄露。查看或篡改数据库内的数据 规避认证 在服务器上写或文件6因输出值转义全的安全漏洞 OS命令注入(O
3、S Command Injection)- 指通过Web应用,执行函数的地方就存在被的操作系统命令的一种。只要在调用Shell的风险。Web应用有时会调用Shell来执行命令,如果在调用Shell时存在疏忽,就可以执行- 造成的危害的OS命令。 OS命令注入可以想Shell命令,让Windows或Linux操作系统令行启动程序。所以该漏洞危害极大。7因输出值转义全的安全漏洞 HTTP首部注入(HTTP Header Injection)- 指者通过在响应首部字段内换行(%0D%0A),添加任意响应首部或主体的一种首部字段。Web应用有时会把从外部接收到的数值,赋给响应101%0D%0ASet-
4、Cookie:UID=admin(%0D%0A,换行符)ation:Set-Cookie:UID=admin8因输出值转义全的安全漏洞 目录遍历(Directory Traversal)- 指对本无意公开的文件目录,通过截断其目录路径后,达成目的的一种。通过Web应用对文件处理操作时,在由外部指定文件名的处理存在疏漏的情况下,用户可以使用“./”(目录)等相对路径到包含隐私数据的文件上,如/etc/passwd、/etc/shadow。- 产生的危害 可能浏览、篡改、删除Web服务器上的文件9因输出值转义全的安全漏洞文件包含漏洞(Remote File Inclusion)- 指当部分内容需要从其他文件读入时,者利用指定外部服务器的URL充当依赖文件,让后,可以运行任意代码的一种。- 这主要是PHP存在的安全漏洞,对PHP的include
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026统计学国企面试题及答案
- 2026文化自信面试题目及答案
- 厨师薪酬合同范本
- 个人旅行意外伤害处理供旅行者预案
- 申请2026年扩展代理服务确认函7篇范本
- 利用高铝粉煤灰制备100万吨硅铝合金源网荷储一体化项目可行性研究报告模板申批拿地用
- 2026年双鸭山市尖山区网格员招聘笔试参考题库及答案详解
- 客服中心在线客服话术培训工作手册
- 2026年陕西省商洛市事业编单位人员招聘考试参考题库及答案详解
- 2026年桂林市秀峰区社区工作者招聘笔试模拟试题及答案详解
- 石油化工工程建设设计概算编制办法
- 数据库应用技术-第三次形考作业(第10章~第11章)-国开-参考资料
- 低温甲醇洗脱硫脱碳技术
- 国家开放大学理工英语1(12套)
- 外墙三明治板施工方案
- 国家开放大学《工作分析实务》形考任务1-4参考答案
- 新课标-人教版四年级数学上册第三单元《角的度量》教材分析
- 护理会诊制度及查房制度课件
- GB/T 42598-2023机械安全使用说明书起草通则
- 大学英语六级词汇表(全)含音标
- 农业银行境外汇款申请书样板
评论
0/150
提交评论