超级会员免费看
网络应用安全深度解析
1. 常见网络攻击案例
在网络世界中,存在着各种各样令人触目惊心的网络攻击案例。曾经有人在不到 5 分钟内就获取了数据库、源代码和管理员权限,但这还算不上最严重的。2003 年 9 月的一则报道中,一个网站的未认证部分存在大量明文的完整信用申请信息,更糟糕的是,这些信息是因为文件名写在 HTML 注释中而被发现的。该公司官方对此事的处理十分糟糕,还被《商业 2.0》杂志以负面的方式报道。近期,英国的一个网上银行应用升级认证机制后,却被发现仅用用户 ID 就能访问,无需密码。
2. 学习网络应用安全的方法
想要深入了解网络应用安全,首先要对网络应用有更深入的认识。因为只有理解网络应用的工作原理,才能在网络应用安全领域有所专长。实际上,在 IT 安全的各个领域,顶尖的专家往往都是优秀的程序员。同时,要全面了解各种威胁,不能只专注于像 SQL 注入这样热门的攻击方式,而应从宏观层面入手,再逐步深入细节。
3. 现有扫描器能否发现网络漏洞
一般来说,现有的扫描器很难发现网络漏洞。市面上真正的网络评估扫描器非常少,它们是高度专业化的工具。目前市场上的大多数扫描器是通用的“网络”扫描器,主要关注已知的漏洞和一些基础问题,如开放端口或有风险的服务。如果要完全手动操作,有许多工具可以免费或低成本获取。值得关注的自动化工具只有商业扫描器,这些产品非常成熟,并且已经发展了很长时间。
4. 网络应用攻击是否对 IDS 和防火墙不可见
在大多数情况下,网络应用攻击对 IDS(入侵检测系统)和防火墙是不可见的。不过,有些攻击肯定会触发网络 IDS,例如目录遍历攻击。由于这种攻击长期以来一直存在
订阅专栏 解锁全文
扫一扫
15万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
