admin 管理员组文章数量: 1086019
2024年4月19日发(作者:internal怎么读的)
网站WEB应用安全措施要求规范
1. 安全防范措施要求
(1) 数据保密性:数据加密主要是防止非授权用户截获并使用该数据 ,网站中有保密要求的信息
只能供经过授权允许的人员,并且以经过允许的方式使用 。
(2) 数据完整性:使用一种方案来确认同站上的数据在传输过程中没有被篡改,而造成信息完整性
破坏的原因可以分为人为的和非人为的两种:
非人为的因素:如通信传输中的干扰噪声,系统硬件或软件的故障等;
人为因素:包括有意的和无意的两种,前者如黑客对计算机的入 侵 、合法用户越权对网站
内数据的处理,后者如操作失误或使用不当 。
(3) 数据安全性:数据的安全性就是保证数据库不被故意破坏和非法存取:数据的完整性是防止数
据库中存在不符合语义的数据,以及防止由于错误信息的输入、输出而造成无效操作和错误结
果:并发控制即数据库是一个共享资源 ,在多个用户程序并行地存取数据库时 ,就可能会产
生多个用户程序通过网站并发地存取同一数据的情况 ,若不进行并发控制就会使取出和存入
的数据不正确,破坏数据库的一致性。
(4) 恶意代码防范:通过代码层屏蔽常见恶意攻击行为,防止非法数据提交;如:SQL注入;
(5) 双因子授权认证:应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
(6) 密码复杂度:强制用户首次登录时修改初始口令;口令长度至少为8位,并由数字、大小字母
与特殊字符组成。
(7) 会话过期与超时:浏览器Cookie过期、无动作过期、强制过期、保持会话等进行限制;
(8) 安全审计功能:a)审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计,如:登
录、退出、添加、删除、修改或覆盖等;b)审计记录应包括事件的日期和时间、用户、事件类
型、事件是否成功及其他与审计相关的信息;
2. 安全风险检测要求
安全风险内容
跨站脚本(XSS)
风险描述
恶意攻击者往WEB页面里插入恶意的html代码,当用户浏览该
页面时,嵌入其中的html代码会被执行,从而达到恶意用户的特
殊目的;(钓鱼、盗取cookie、操纵受害者的浏览器、蠕虫攻击)
用户输入的数据未经验证就用来构造SQL查询语句,查询数据库
中的敏感内容,绕过认证添加、删除、修改数据、拒绝服务。
如果在查询或修改时,如果没有做转义,直接输入或输出数据,
都将导致XML注入漏洞。攻击者可以修改XML数据格式,增
加新的XML节点,对数据处理流程产生影响。
强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,
检测结果
SQL注入漏洞
XML注入
跨站请求伪造(CSRF)
最后达到攻击者所需要的操作行为。恶意请求会带上浏览器的
Cookie。受攻击的Web应用信任浏览器的Cookie。
下载服务器任意文件,如脚本代码,服务及系统配置文件等;可
用得到的代码进一步代码审计,得到更多可利用漏洞
Web应用程序在处理用户上传的文件时,没有判断文件的扩展名
是否在允许的范围内,或者没检测文件内容的合法性,就把文件
保存在服务器上,甚至上传脚本木马到web服务器上,直接控制
web服务器。(未限制扩展名、未检查文件内容、病毒文件)
任意文件下载
文件上传
远程命令执行
敏感信息泄漏
可远程执行代码,直接使用管理员权限执行恶意命令;
泄漏敏感信息
一个正常的用户A通常只能够对自己的一些信息进行增删改查,
权限控制
但是由于程序员的一时疏忽,对信息进行增删改查的时候没有进
行一个判断,判断所需要操作的信息是否属于对应的用户,可以
导致用户A可以操作其他人的信息。
已解密的登录请求
未设置验证码机制
可能会窃取诸如用户名和密码等未经加密即发送了的用户登录
信息
恶意攻击者可以使用暴力破解的手段猜解帐号和密码
版权声明:本文标题:网站WEB应用安全措施要求规范 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1713493198a637424.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论