Web开发框架的需要考虑的安全问题.pdf
版权申诉
117 浏览量
2021-10-02
12:31:40
上传
评论
收藏 11KB PDF 举报
WEB 开发框架的安全问题
背景
Web 是互联网的核心,是未来云计算和移动互联网的最佳载体,因此 Web 安全也是互
联网公司安全业务中最重要的组成部分。
然而在当今的互联网行业中, 对安全的重视程度普遍不高。 有统计显示, 互联网公司对
安全的投入不足收入的百分之一。
在 2011 年岁末之际 (当时本人还在家中备考 ),中国互联网突然卷入了一场有史以来最
大的安全危机。 12 月 21 日,国内最大的开发者社区 CSDN被黑客在互联网上公布了 600 万
注册用户的数据。更糟糕的是, CSDN在数据库中明文保存了用户的密码。接下来如同一场
盛大的交响乐,黑客随后陆续公布了网易、人人、天涯、猫扑、多玩等多家大型网站的数据
库,一时间风声鹤唳,草木皆兵。
Web 开发框架就相当于 web 应用程序的操作系统,它决定了一个应用程序的模型结构
和编程风格。 由于框架漏洞频发, struts 任意代码执行、 Django csrf token 防御绕过、 Cakephp
代码执行等等各大语言编程框架都相继暴出高危漏洞, 这说明对于编程框架的安全问题已经
逐渐走入安全工作者的视线。
关键字: SQL注入, XSS,CSRF
常见的 WEB 安全攻击种类
1、SQL注入:
所谓 SQL注入式攻击,就是攻击者把 SQL命令插入到 Web 表单的输入域或页面请求的
查询字符串,欺骗服务器执行恶意的 SQL 命令。攻击者通过在应用程序预先定义好的 SQL
语句结尾加上额外的 SQL语句元素,欺骗数据库服务器执行非授权的查询 ,篡改命令。
它能够轻易的绕过防火墙直接访问数据库, 甚至能够获得数据库所在的服务器的系统权
限。在 Web 应用漏洞中, SQL Injection 漏洞的风险要高过其他所有的漏洞。
2、跨站脚本攻击 (也称为 XSS):
XSS 全称 (Cross Site Scripting) 跨站脚本攻击,是 Web 程序中最常见的漏洞。指攻击者
在网页中嵌入客户端脚本 (例如 JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器
上执行,从而达到攻击者的目的 . 比如获取用户的 Cookie,导航到恶意网站 ,携带木马等。
3、CSRF 攻击
CSRF(Cross-site request forgery ),中文名称:跨站请求伪造,也被称为: one click
attack/session riding ,缩写为: CSRF/XSRF。
你这可以这么理解 CSRF攻击:攻击者盗用了你的身份, 以你的名义发送恶意请求。 CSRF
能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货
币转账 ......造成的问题包括:个人隐私泄露以及财产安全。
Web 开发框架现状
现代编程框架的几个大特点:
1、将程序代码分为不同层次,业务开发、前端开发、数据库开发人员各司其职,框架根据
需要组装代码、调度执行
2、统一化自动化逻辑处理
3、常见功能的代码库封装并高度重用
4、脚手架功能,常见代码组件自动组装生成。如默认用户系统、默认后台。
然而就是以上几点广受好评的功能导致了安全薄弱点的产生。
1、代码调度
资源评论
