- 1、本文档共35页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
(安全生产)安全攻击及防
范手册
2010 年 8 月
1 概述
1 概述
1.1 简介
1.1 简介
当今世界,Internet(因特网)已经成为一个非常重要的基础平台,
很多企业都将应用架设在该平台上,为客户提供更为方便、快捷
的服务支持。这些应用在功能和性能上,都在不断的完善和提高,
然而在非常重要的安全性上,却没有得到足够的重视。随着WEB 技
术应用的范围越来越广泛,WEB 技术相关的安全漏洞越来越多的被挖
掘出来,而针对 WEB 站点的攻击已经成为了最流行的攻击途径。
不久前项目管理部对公司内外重点系统进行了一次安全隐患分析测
试,并总结出了《公司安全测试问题分类及描述》的报告文档。本文
针对此报告中提到的一些重大安全隐患问题逐一分析,并给出相应的
解决方案。
1.2 参考资料
1.2 参考资料
《Java 安全性编程实例》
《网站系统安全开发手册》
《企业级 Java 安全性(构建安全的 J2EE 应用)》
2 WEB 安全隐患及预防措施
2 WEB 安全隐患及预防措施
2.1 会话标识未更新
2.1 会话标识未更新
2.1.1 描述
2.1.1 描述
登陆过程前后会话标识的比较,显示它们并未更新,这表示有可
能伪装用户。初步得知会话标识值后,远程攻击者有可能得以充当已
登录的合法用户。
2.1.2 安全级别
2.1.2 安全级别
高。
2.1.3 安全风险
2.1.3 安全风险
可能会窃取或操纵客户会话和 cookie ,它们可能用于模仿合法用
户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。
2.1.4 解决方案
2.1.4 解决方案
不要接受外部创建的会话标识。
始终生成新的会话,供用户成功认证时登录。
防止用户操纵会话标识。
请勿接受用户浏览器登录时所提供的会话标识。
如果有验证码的。验证码改用 application 存储。同时记得释放
资源
2.1.5 技术实现
2.1.5 技术实现
登陆界面和登陆成功的界面一致时
修改后台逻辑,在验证登陆逻辑的时候,先强制让当前 session
过期,然后用新的 session 存储信息。
登陆界面和登陆成功的界面不一致时
在登陆界面后增加下面一段代码,强制让系统 session 过期。
request.getSession().invalidate();//清空 session
Cookiecookie=request.getCookies()[0];//获取 cookie
cookie.setMaxAge(0);//让 cookie 过期
注意:
框架 2.0 已经修改了登陆验证类,登陆成功后会清理掉当前
session ,重新创建一个新的session 。凡是使用框架2.0 的项目
均可统一增加此功能。
2.2 不充分帐户封锁
2.2 不充分帐户封锁
2.2.1 描述
2.2.1 描述
程序没有使用锁定功能,可以穷举密码,可以造成蛮力攻击,恶
意用户发送大量可能的密码和/或用户名以访问应用程序的尝试。由
于该技术包含大量登录尝试,未限制允许的错误登录请求次数的应用
程序很容易遭到这类攻击。
2.2.2 安全级别
2.2.2 安全级别
高。
2.2.3 安全风险
2.2.3 安全风险
可能会升级用户特权并通过Web 应用程序获取管理许可权。
2.2.4 解决方案
2.2.4 解决方案
请确定允许的登录尝试次数(通常是 3-5 次),确保超出允许的
尝试次数之后,便锁定帐户。为了避免真正的用户因帐户被锁定而致
电支持人员的麻烦,可以仅临时性暂挂帐户活动,并在特定时间段之
后启用帐户。帐户锁定大约 10 分钟,通常用这样的方法阻止蛮力攻
击。
2.2.5 技术实现
2.2.5 技术实现
提供锁定信息配置类,可根据项目特定需求修改此配置信息。
修改登陆验证逻辑,根据上面的配置信息提供帐户锁定功能。
注意:
框架 2.0 已经实现了此功能,凡是使用框架2.0 的项目均可统一
增加此功能。
2.3 可预测的登录凭证
2.3 可预测的登录凭证
2.3.1 描述
2.3.1 描述
您可能关注的文档
- 工作规范某物业服务中心工程部工作手册.pdf
- 管理信息化OA自动化火电厂自动化电气自动化毕业设计外文翻译.pdf
- 管理信息化人工智能健康智能腕带23.pdf
- 管理运营知识企业管理之春夏秋冬.pdf
- 合同法律法规上市公司会计舞弊的法律控制研究.pdf
- 合同知识合同二部分.pdf
- 家装行业家装公司家装营销策划市场开发渠道挖掘方案.pdf
- 建筑工程安全 施工项目部安全管理工作机制.pdf
- 建筑工程安全(康达工程)安全技术交底记录卡.pdf
- 建筑工程安全小庄煤矿装载硐室施工安全技术措施.pdf
- 2023年贵州省贵阳市中级会计职称经济法真题(含答案).pdf
- 区域生态环境建设——高考地理一轮复习大单元知识清单和练习(解析版).pdf
- 2023年国家电网(财务会计类)专业备考题库资料(计算简答题部分).pdf
- 2024-2025北师大版4四年级数学上册(全册)测试卷10套(附答案).pdf
- 2023-2024学年山东省德州市齐河县统编版四年级上册期末考试语文试卷(含答案解析).pdf
- 2024-2025学年江西省九江市初三第二学期期末考试语文试题(含解析).pdf
- 2024-2025学年福建省漳州市诏安县初三年级下册期末考试英语试题(含答案).pdf
- 2024-2025学年湖北重点学校高二数学上学期9月联考试卷(附答案解析).pdf
- 消防装备维护员(高级技能)考试复习题库(供参考).pdf
- 文言文之人物形象(2大陷阱:忽略故事情节+概括能力不足)-2024年中考语文考试易错题(原卷版).pdf
文档评论(0)