| 預(yù)防Web應(yīng)用程序的漏洞 |
| 時(shí)間: 2013/2/16 10:43:54 點(diǎn)擊: 16677 |
|
如今的Web應(yīng)用程序可能會(huì)包含危險(xiǎn)的安全缺陷。這些應(yīng)用程序的全球化部署使其很容易遭受攻擊,這些攻擊會(huì)發(fā)現(xiàn)并惡意探測(cè)各種安全漏洞。 Web環(huán)境中兩個(gè)主要的風(fēng)險(xiǎn)在于:注入——也就是SQL注入,它會(huì)讓黑客更改發(fā)往數(shù)據(jù)庫(kù)的查詢——以及跨站腳本攻擊(XSS),它們也是最危險(xiǎn)的(Category:OWASP_Top_Ten_Project)。注入攻擊會(huì)利用有問(wèn)題代碼的應(yīng)用程序來(lái)插入和執(zhí)行黑客指定的命令,從而能夠訪問(wèn)關(guān)鍵的數(shù)據(jù)和資源。當(dāng)應(yīng)用程序?qū)⒂脩籼峁┑臄?shù)據(jù)不加檢驗(yàn)或編碼就發(fā)送到瀏覽器上時(shí),會(huì)產(chǎn)生XSS漏洞。 盡管2009年OWASP(Open Web Application Security Project)的一個(gè)報(bào)告表明安全方面的投資在增加(Category:OWASP_Security_Spending_Benchmarks),但是NTA Monitor的2010 Web應(yīng)用安全報(bào)名表明Web的安全性跟前一年相比實(shí)際在下降。實(shí)際上,Web應(yīng)用的漏洞給公司和組織帶來(lái)了很多的問(wèn)題。按照WhiteHat Security最新的Web站點(diǎn)安全性數(shù)據(jù)報(bào)告所示,被評(píng)估網(wǎng)站的63%是有漏洞的,每個(gè)平均有六個(gè)未解決的缺陷。(WhiteHat Website Security Statistics Report)。這些漏洞創(chuàng)建并維持了一個(gè)基于攻擊竊取數(shù)據(jù)和資源的地下經(jīng)濟(jì)鏈。 Web應(yīng)用程序需要有深度防御的措施來(lái)避免和減少安全性漏洞。1這種方式假設(shè)所有的安全預(yù)防措施都可能失敗,所以安全性依賴于多層的機(jī)制從而能夠覆蓋其他層的失敗。為了減少成功攻擊的可能性,軟件工程師團(tuán)隊(duì)必須做出必要的努力來(lái)引入適當(dāng)?shù)陌踩苑雷o(hù)措施。要達(dá)到這一點(diǎn)必須使用各種技術(shù)和工具來(lái)確保安全性涵蓋軟件產(chǎn)品開(kāi)發(fā)生命周期的所有階段。 軟件開(kāi)發(fā)生命周期中的安全性 盡管軟件
|
|
上一篇: 馬云:做搜索是為了讓百度睡不著覺(jué) 下一篇: 網(wǎng)站流量之如何防止圖片浪費(fèi)空間流量技巧 |
聯(lián)系地址:廣州市中山大道89號(hào)國(guó)家軟件產(chǎn)業(yè)基地天河軟件園華景園區(qū)12S-05 郵編:510630
版權(quán)所有 (C) 2003-2011 www.zhenluyuan.com 網(wǎng)站ICP備案號(hào):粵ICP備05020325號(hào)-8