博客介绍了Web安全入门知识,分析了JSP、PHP、ASP可能存在的安全问题,如JSP的Servlet不安全、PHP授权不合理等。还提及了CGI、JSON的概念,常用信息安全技术,以及安全方案设计原则和微软针对缓冲区溢出的防御措施。
2019.3.20
1.英语单词学习计划(115、116)
2.web安全入门: JSP可能存在的问题: ①HTTP请求得到的Servlet不安全 ②内嵌编程语言,如java的代码漏洞 ③XML和其他标记带来的漏洞
④内嵌的脚本语言,如JavaScript带来的漏洞 ⑤与常用的web容器,数据库交互过程产生的安全问题
PHP可能存在的问题: ①PHP允许授权用户对系统文件访问,可能授权不合理 ②PHP提权比较容易 ③本身没有数据库保护
ASP可能存在的问题: ①用户名和口令可能在ASP文件中硬编码。在ASP文件中仅以简单的判断语句验证HTTP请求对象,容易绕过
②通常需要与数据库进行交互,程序对数据源的硬编码容易导致数据库信息泄漏
③缺乏对HTTP请求中URL的字符串验证
ps: CGI:通用网关接口,web服务器将一些动态请求传递给应用程序依赖CGI协议,可以说是web服务器与应用程序通信的规范
JSON: JSON(JavaScript Object Notation, JS 对象简谱) 是一种轻量级的数据交换格式,简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。
常用的信息安全技术:防火墙系统,防病毒系统,访问控制系统,入侵检测系统(IDS),入侵防护系统(IPS),
漏洞扫描系统,安全审计系统,数据备份系统,安全监管系统等
ps:从《白帽子讲Web安全》中了解了吴瀚清作者的安全观
- 可能造成危害的来源称为威胁(Threat),可能会出现的损失称为风险(Risk)
设计安全方案最重要的原则是"Secure by Default"原则(可以归纳为白名单、黑名单思想、最小权限原则)
微软在新的windows版本中针对缓冲区溢出的防御有DEP保证堆栈不可执行,使用ASLR让进程的栈基址随机化
(36/1750)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
