Web开发者忽略的安全威胁-控件新闻-慧都网

Web开发者忽略的安全威胁

原创|行业资讯|编辑：龚雪|2014-07-08 09:40:37.000|阅读 217 次

概述：Web应用遇到的安全威胁问题，值得开发中关注，请不要忽略！

Web应用系统是由操作系统和Web应用程序组成的。许多程序员不知道如何开发安全的应用程序，他们没有经过安全编码的培训。他们的经验也许是开发独立应用程序或企业 Web应用程序，这些应用程序没有考虑到在安全缺陷被利用时可能会出现灾难性后果。

Web应用的大多数安全问题都属于下面三种类型之一：

服务器向公众提供了不应该提供的服务，导致存在安全隐患。
服务器把本应私有的数据放到了公开访问的区域，导致敏感信息泄露。
服务器信赖了来自不可信赖数据源的数据，导致受到攻击。

许多Web服务器管理员从来没有从另一个角度来看看他们的服务器，没有对服务器的安全风险进行检查，例如使用端口扫描程序进行系统风险分析等。如果他们曾经这样做了，就不会在自己的系统上运行那么多的服务，而这些服务原本无需在正式提供Web服务的机器上运行，或者这些服务原本无需面向公众开放。另外他们没有修改对外提供服务的应用程序的banner信息，使攻击者容易获取到Web服务器对外提供应用程序的相关版本信息，并根据信息找到相对应的攻击方法和攻击程序。

许多Web应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。这些攻击行动直接绕过了周边防火墙安全措施，因为端口80或 443(SSL，安全套接字协议层)必须开放，以便让应用程序正常运行。Web应用安全存在非法输入、失效的访问控制、失效的账户和线程管理、跨站脚本攻击、缓冲区溢出、注射攻击、异常错误处理、不安全的存储、拒绝服务攻击、不安全的配置管理等问题。Web应用程序攻击包括对应用程序本身的DoS(拒绝服务)攻击、改变网页内容、SQL注入、上传Webshell以及获取对Web服务的控制权限等。

总之，Web应用攻击之所以与其他攻击不同，是因为它们很难被发现，而且可能来自任何在线用户，甚至是经过验证的用户。

倾情推荐：

通信安全工具：

IP*Works! Internet Toolkit v9.0

IP*Works! EDI/AS2 v9.0

IP*Works! S/MIME v9.0 IP*Works! SSH IP*Works! SSL

代码混淆工具：

.NET Reactor v4.9 Dotfuscator DashO Pro v7.3

Zend Guard

标签：数据安全应用程序安全 Web开发

本站文章除注明转载外，均为本站原创或翻译。欢迎任何形式的转载，但请务必注明出处、不得修改原文相关链接，如果存在内容上的异议请邮件反馈至chenjj@evget.com

上一篇：Java程序员不要错过的7款新工具下一篇：当终结者来临时，只有谷歌俩创始人能够毫发无伤……