首页  思维导图  详情



 



第二章核心防御机制

2018-11-27 14:45:29   0  举报





AI智能生成

第二章核心防御机制

黑客攻防宝典

模板推荐

作者其他创作

大纲/内容

处理用户输入

输入的多样性

输入处理方法

拒绝已知的不良输入

接受已知的正常输入

净化

安全数据处理

语法检查

边界确认

应用程序收到的用户登录信息

应用程序执行一个SQL查询检验用户的证书

用户登录成功后再发送数据给SOAP服务

应用程序在用户浏览器显示用户的账户信息

多步确认与规范化

递归执行净化操作

管理应用程序

身份验证机制中存在的薄弱环节使攻击者能够获得管理员权限

许多应用程序并不对它的一些管理功能执行有效的访问控制

管理功能通常能够显示普通用户的提交数据

管理用户往往没有进行过充分的安全测试

问题

为什么说应用程序处理用户访问的机制是所有机制中最薄弱的机制

会话与会话令牌有何不同

为何不可能始终使用基于白名单的方法进行输入确认

攻击者正在攻击一个执行管理功能的应用程序，并且不具有使用这项功能的任何有效证书。为何他仍然应当密切关注这项功能呢

5. 旨在阻止跨站点脚本攻击的输入确认机制按以下顺序处理一个输入

(1) 删除任何出现的<script>表达式；

(2) 将输入截短为50个字符

3) 删除输入中的引号；

(4) 对输入进行URL解码；

(5) 如果任何输入项被删除，返回步骤(1)

是否能够避开上述确认机制，让以下数据通过确认？<br>“><script>alert(“foo”)</script>

处理用户访问

身份验证

会话管理

访问控制

处理攻击者

处理错误

维护审计日志

向管理员发出警报

应用反常

交易反常

包含已知攻击字符串的请求

请求中普通用户无法查看的数据被修改

应对攻击

小结

 Collect

Get Started

第二章包装

 Collect

Get Started

小组工作第二章

 Collect

Get Started

第二章犯罪概念

 Collect

Get Started

第二章教育的基本规律





0 条评论

下一页

第二章 核心防御机制

第二章核心防御机制