典型网站漏洞分类、影响及解决方案(doc 8页)
- 所属分类:
- 网站策划
- 文件大小:
- 49 KB
- 下载地址:
- 相关资料:
- 解决方案
典型网站漏洞分类、影响及解决方案(doc 8页)内容简介
典型网站漏洞分类、影响及解决方案内容提要:
典型网站漏洞影响及解决方案:
SQL 注入漏洞 漏洞影响: 本漏洞属于 Web 应用安全中的常见漏洞,属于 OWASP TOP 10 (2007) 中的注入类漏洞。 很多 WEB 应用中都存在 SQL 注入漏洞。SQL 注入是一种攻击者利用代码 缺陷进行攻击的方式,可在任何能够影响数据库查询的应用程序参数中利用。例 如 url 本身的参数、post 数据或 cookie 值。 正常的 SQL 注入攻击很大程度上取决于攻击者使用从错误消息所获得信 息。但是,即使没有显示错误消息应用程序仍可能受 SQL 注入的影响。 总体上讲,SQL 注入是对 web 应用而不是对 web 服务器或操作系统本身 的攻击。正如其名称所示,SQL 注入是对查询添加非预期 SQL 命令从而以数据 库管理员或开发人员非预期的方式操控数据库的行为。如果成功的话,就可以获 得、修改、注入或删除有漏洞 web 应用所使用数据库服务器的数据。在某些环 境下,可利用 SQL 注入完全控制系统。
解决方案: 防护建议包括部署分层安全措施(包括在接受用户输入时使用参数化的查 询) 、确保应用程序仅使用预期的数据、加固数据库服务器防止不恰当的访问数 据。 建议使用以下措施防范 SQL 注入漏洞:
对于开发 ======== 使用以下建议编写不受 SQL 注入攻击影响的 web 应用。 参数化查询: SQL 注入源于攻击者控制查询数据以修改查询逻辑, 因此防范 SQL 注入攻击的最佳方式就是将查询的逻辑与其数据分隔, 这可以防止执行从用户输 入所注入的命令。这种方式的缺陷是可能对性能产生影响(但影响很小) ,且必 须以这种方式构建站点上的每个查询才能完全有效。只要无意中绕过了一个查 询,就足以导致应用受 SQL 注入的影响。以下代码显示的是可以进行 SQL 注入 的 SQL 语句示例。
..............................
典型网站漏洞影响及解决方案:
SQL 注入漏洞 漏洞影响: 本漏洞属于 Web 应用安全中的常见漏洞,属于 OWASP TOP 10 (2007) 中的注入类漏洞。 很多 WEB 应用中都存在 SQL 注入漏洞。SQL 注入是一种攻击者利用代码 缺陷进行攻击的方式,可在任何能够影响数据库查询的应用程序参数中利用。例 如 url 本身的参数、post 数据或 cookie 值。 正常的 SQL 注入攻击很大程度上取决于攻击者使用从错误消息所获得信 息。但是,即使没有显示错误消息应用程序仍可能受 SQL 注入的影响。 总体上讲,SQL 注入是对 web 应用而不是对 web 服务器或操作系统本身 的攻击。正如其名称所示,SQL 注入是对查询添加非预期 SQL 命令从而以数据 库管理员或开发人员非预期的方式操控数据库的行为。如果成功的话,就可以获 得、修改、注入或删除有漏洞 web 应用所使用数据库服务器的数据。在某些环 境下,可利用 SQL 注入完全控制系统。
解决方案: 防护建议包括部署分层安全措施(包括在接受用户输入时使用参数化的查 询) 、确保应用程序仅使用预期的数据、加固数据库服务器防止不恰当的访问数 据。 建议使用以下措施防范 SQL 注入漏洞:
对于开发 ======== 使用以下建议编写不受 SQL 注入攻击影响的 web 应用。 参数化查询: SQL 注入源于攻击者控制查询数据以修改查询逻辑, 因此防范 SQL 注入攻击的最佳方式就是将查询的逻辑与其数据分隔, 这可以防止执行从用户输 入所注入的命令。这种方式的缺陷是可能对性能产生影响(但影响很小) ,且必 须以这种方式构建站点上的每个查询才能完全有效。只要无意中绕过了一个查 询,就足以导致应用受 SQL 注入的影响。以下代码显示的是可以进行 SQL 注入 的 SQL 语句示例。
..............................
用户登陆
网站策划热门资料
网站策划相关下载