日韩天天综合网_野战两个奶头被亲到高潮_亚洲日韩欧美精品综合_av女人天堂污污污_视频一区**字幕无弹窗_国产亚洲欧美小视频_国内性爱精品在线免费视频_国产一级电影在线播放_日韩欧美内地福利_亚洲一二三不卡片区

Web服務(wù)器的安全和攻擊防范(9)_Windows教程

編輯Tag賺U幣
教程Tag:暫無(wú)Tag,歡迎添加,賺取U幣!
偽造Web請(qǐng)求(三)

  另外一種常見(jiàn)的錯(cuò)誤是把內(nèi)部應(yīng)用的狀態(tài)數(shù)據(jù)通過(guò)< INPUT TYPE="HIDDEN" >標(biāo)記從一個(gè)頁(yè)面?zhèn)鬟f到另一個(gè)頁(yè)面。把內(nèi)部應(yīng)用的狀態(tài)放到信任界限之外就如把應(yīng)用的心臟挖出來(lái)放到了攻擊者的面前。對(duì)于如此缺乏安全保障的應(yīng)用,任何想要摧毀它的攻擊者都可以輕易地引導(dǎo)該應(yīng)用并得到任何想要的效果。應(yīng)用的狀態(tài)應(yīng)該通過(guò)會(huì)話變量保存在服務(wù)器上,永遠(yuǎn)不應(yīng)該跨越信任界限。所有的Web應(yīng)用開(kāi)發(fā)平臺(tái)都有這種機(jī)制。例如在PHP3中,PHPLIB可用于保存會(huì)話數(shù)據(jù),PHP4使用的是session_*()調(diào)用,ASP提供Session對(duì)象,Cold Fusion提供幾種不同的會(huì)話變量。

  Web應(yīng)用不應(yīng)該把任何來(lái)自信任界線之外的數(shù)據(jù)直接保存為會(huì)話變量:會(huì)話變量是可信任的變量,不應(yīng)該用來(lái)保存不可信任的數(shù)據(jù)。通常,來(lái)自外面的數(shù)據(jù)(比如表單變量的數(shù)據(jù))應(yīng)該先傳入檢驗(yàn)其合法性的函數(shù)。只有當(dāng)檢驗(yàn)函數(shù)表示表單提供的數(shù)據(jù)是安全的,才可以把表單數(shù)據(jù)復(fù)制到會(huì)話變量。Web應(yīng)用應(yīng)該把這種檢查集中到一起進(jìn)行,應(yīng)用的所有其余部分永遠(yuǎn)不應(yīng)該直接接觸表單變量,而是應(yīng)該使用經(jīng)過(guò)檢查且確認(rèn)安全的會(huì)話數(shù)據(jù)。

  參考:
  • http://www.koehntopp.de/kris/artikel/weBTune/
    "Webserver verstehen und tunen" (德語(yǔ))
  • http://www.koehntopp.de/php/
    "de.comp.lang.php - H‰ufig gestellte Fragen" (德語(yǔ))
  • http://www.insecure.org/nmap/
    "NMAP Port Scanner" (英語(yǔ))
  • http://ethereal.zing.org/
    "Ethereal Network Monitor" (英語(yǔ))
  • http://www.marko.net/cheops
    "Ceops Network Mapper" (英語(yǔ))
  • http://freshmeat.net/appindex/1998/04/06/891857252.html
    "lsof - list open files" (英語(yǔ))

    "TCP/IP Illustrated, Volume 1: The Protocols" (英語(yǔ))
    W. Richard Stevens
    Addison-Wesley

    "Hacking Exposed - Network Security Secrets & Solutions" (英語(yǔ))
    McClure, Scambray and Kurtz

    "Maximum Linux Security" (英語(yǔ))
    Anonymous
  • http://phplib.netuse.de/
    "A library for PHP application development" (英語(yǔ))

來(lái)源:網(wǎng)絡(luò)搜集//所屬分類(lèi):Windows教程/更新時(shí)間:2013-04-16
相關(guān)Windows教程