網站新聞
最新新聞
| 預防Web應用程序的漏洞 |
| 時間: 2013/2/16 10:43:54 點擊: 16680 |
|
的信息,例如應用程序內部的異常細節,這些信息有助于發起其他的攻擊。在輸出校驗的另一個例子當中,保護系統會搜索應用程序輸出的關鍵信息,如信用卡號,并在發送給前端之前用星號代替。將信息編碼是能夠避免XSS漏洞的一種輸出校驗方式。4如果發送給瀏覽器的數據要顯示在Web頁面上,它應該進行HTML編碼或百分號編碼,這取決于它在頁面的位置。通過這種方式,XSS所用的惡意字符不再具有破壞性,而且編碼會保留數據的原來意義。
探測漏洞 識別安全的問題要求不僅測試應用程序的功能還要尋找代碼中可能被黑客利用的隱藏的危險缺陷。5探測漏洞的兩個主要方式是白盒分析和黑盒測試。 白盒分析 白盒分析需要在不執行的情況下檢查代碼。開發人員可以按照以下兩種方式中的某一種來進行:在代碼的審查或評審時以手動方式進行或者借助自動分析工具自動化進行。 代碼審查(Code inspection)指的是程序員的同伴系統檢查交付的代碼,查找編碼錯誤。6安全審查是減少應用程序中漏洞最有效的方式;當為關鍵的系統開發軟件時,這是重要的過程。但是,這種審查方式通常是很費時間的、代價昂貴并需要深入了解Web的安全知識。 代碼檢查(Code review)是代價稍為低廉的替代方案,6它是一種簡化版本的代碼審查適用于分析不像前面那么重要的代碼。檢查也是手動進行的,但是它不需要正式的審查會議。幾個專家分別進行檢查,然后由主持人過濾和合并結果。盡管這是一個有效的方式,但代碼檢查的成本依舊是很高的。 為了減少白盒法分析的成本,開發人員有時依賴自動化工具,如靜態代碼分析器。靜態代碼分析工具會檢查
|
|
上一篇: 馬云:做搜索是為了讓百度睡不著覺 下一篇: 網站流量之如何防止圖片浪費空間流量技巧 |
電話:020-85562980 傳真:020-85563269 郵箱:service@macroblue.net
聯系地址:廣州市中山大道89號國家軟件產業基地天河軟件園華景園區12S-05 郵編:510630
版權所有 (C) 2003-2011 www.zhenluyuan.com 網站ICP備案號:粵ICP備05020325號-8
聯系地址:廣州市中山大道89號國家軟件產業基地天河軟件園華景園區12S-05 郵編:510630
版權所有 (C) 2003-2011 www.zhenluyuan.com 網站ICP備案號:粵ICP備05020325號-8