安全架构设计
2018-11-20 13:52:12 13 举报
漏洞攻击
作者其他创作
大纲/内容
加密传输
权限
Web服务器
输入账号密码登录
2、通过邮件或其他方式发送恶意链接
执行文件
5.根据4中要求访问网站A
网站用户
规则
攻击者
数据A
7、劫持用户会话
加密传输sessionID
权限控制管理器
构造特殊的SQL语句
处理用户请求
方法拦截器
3.访问恶意网站B
恶意网站B
校验Session判断是否已登录
1
呈现用户功能界面
角色
5、发送会话信息
上传伪装的可执行文件
保存文件
验证通过建立session及资料
访问控制
可执行文件
攻击者的Web服务器
浏览器
6、获取会话信息
1.浏览并登陆网站A
运维人员
用户B
数据安全
用户
角色权限关系
6.处理成功,达到攻击目的
将session存入Cookie完成登入操作
返回数据库信息
预防攻击
用户A
2.返回网站A的Session
3、访问攻击URL
4、对攻击js回应
容错
认证鉴权
构造命令
4
数据访问服务
角色用户关系
传输安全
审计日志
执行攻击操作
网站后台
验证通过
数据库
1、登录
安全开发
研发人员
3
运营安全
将SessionID存入Cookie
拼接命令、执行
web系统
Web服务器
备份恢复
被攻击服务器
数据B
规则引擎
Spring AOP
数据
进入用户界面
5
访问请求
动态查询数据库
输入账号/密码登录
可信网站A
获取数据库信息
资源控制
上传文件
传送session
4.要求用户访问网站A,发出一个请求
将Session通过Cookie传送至网站
2
文件上传页面
0 条评论
回复 删除
下一页