典型網站漏洞分類、影響及解決方案(doc 8頁)
- 所屬分類:
- 網站策劃
- 文件大小:
- 49 KB
- 下載地址:
- 相關資料:
- 解決方案
典型網站漏洞分類、影響及解決方案(doc 8頁)內容簡介
典型網站漏洞分類、影響及解決方案內容提要:
典型網站漏洞影響及解決方案:
SQL 注入漏洞 漏洞影響: 本漏洞屬於 Web 應用安全中的常見漏洞,屬於 OWASP TOP 10 (2007) 中的注入類漏洞。 很多 WEB 應用中都存在 SQL 注入漏洞。SQL 注入是一種攻擊者利用代碼 缺陷進行攻擊的方式,可在任何能夠影響數據庫查詢的應用程序參數中利用。例 如 url 本身的參數、post 數據或 cookie 值。 正常的 SQL 注入攻擊很大程度上取決於攻擊者使用從錯誤消息所獲得信 息。但是,即使沒有顯示錯誤消息應用程序仍可能受 SQL 注入的影響。 總體上講,SQL 注入是對 web 應用而不是對 web 服務器或操作係統本身 的攻擊。正如其名稱所示,SQL 注入是對查詢添加非預期 SQL 命令從而以數據 庫管理員或開發人員非預期的方式操控數據庫的行為。如果成功的話,就可以獲 得、修改、注入或刪除有漏洞 web 應用所使用數據庫服務器的數據。在某些環 境下,可利用 SQL 注入完全控製係統。
解決方案: 防護建議包括部署分層安全措施(包括在接受用戶輸入時使用參數化的查 詢) 、確保應用程序僅使用預期的數據、加固數據庫服務器防止不恰當的訪問數 據。 建議使用以下措施防範 SQL 注入漏洞:
對於開發 ======== 使用以下建議編寫不受 SQL 注入攻擊影響的 web 應用。 參數化查詢: SQL 注入源於攻擊者控製查詢數據以修改查詢邏輯, 因此防範 SQL 注入攻擊的最佳方式就是將查詢的邏輯與其數據分隔, 這可以防止執行從用戶輸 入所注入的命令。這種方式的缺陷是可能對性能產生影響(但影響很小) ,且必 須以這種方式構建站點上的每個查詢才能完全有效。隻要無意中繞過了一個查 詢,就足以導致應用受 SQL 注入的影響。以下代碼顯示的是可以進行 SQL 注入 的 SQL 語句示例。
..............................
典型網站漏洞影響及解決方案:
SQL 注入漏洞 漏洞影響: 本漏洞屬於 Web 應用安全中的常見漏洞,屬於 OWASP TOP 10 (2007) 中的注入類漏洞。 很多 WEB 應用中都存在 SQL 注入漏洞。SQL 注入是一種攻擊者利用代碼 缺陷進行攻擊的方式,可在任何能夠影響數據庫查詢的應用程序參數中利用。例 如 url 本身的參數、post 數據或 cookie 值。 正常的 SQL 注入攻擊很大程度上取決於攻擊者使用從錯誤消息所獲得信 息。但是,即使沒有顯示錯誤消息應用程序仍可能受 SQL 注入的影響。 總體上講,SQL 注入是對 web 應用而不是對 web 服務器或操作係統本身 的攻擊。正如其名稱所示,SQL 注入是對查詢添加非預期 SQL 命令從而以數據 庫管理員或開發人員非預期的方式操控數據庫的行為。如果成功的話,就可以獲 得、修改、注入或刪除有漏洞 web 應用所使用數據庫服務器的數據。在某些環 境下,可利用 SQL 注入完全控製係統。
解決方案: 防護建議包括部署分層安全措施(包括在接受用戶輸入時使用參數化的查 詢) 、確保應用程序僅使用預期的數據、加固數據庫服務器防止不恰當的訪問數 據。 建議使用以下措施防範 SQL 注入漏洞:
對於開發 ======== 使用以下建議編寫不受 SQL 注入攻擊影響的 web 應用。 參數化查詢: SQL 注入源於攻擊者控製查詢數據以修改查詢邏輯, 因此防範 SQL 注入攻擊的最佳方式就是將查詢的邏輯與其數據分隔, 這可以防止執行從用戶輸 入所注入的命令。這種方式的缺陷是可能對性能產生影響(但影響很小) ,且必 須以這種方式構建站點上的每個查詢才能完全有效。隻要無意中繞過了一個查 詢,就足以導致應用受 SQL 注入的影響。以下代碼顯示的是可以進行 SQL 注入 的 SQL 語句示例。
..............................
用戶登陸
網站策劃熱門資料
網站策劃相關下載