(安全生产)安全攻击及防范手册.pdf

(安全生产)安全攻击及防范手册.pdf

  1. 1、本文档共35页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
(安全生产)安全攻击及防 范手册 2010 年 8 月 1 概述 1 概述 1.1 简介 1.1 简介 当今世界,Internet(因特网)已经成为一个非常重要的基础平台, 很多企业都将应用架设在该平台上,为客户提供更为方便、快捷 的服务支持。这些应用在功能和性能上,都在不断的完善和提高, 然而在非常重要的安全性上,却没有得到足够的重视。随着WEB 技 术应用的范围越来越广泛,WEB 技术相关的安全漏洞越来越多的被挖 掘出来,而针对 WEB 站点的攻击已经成为了最流行的攻击途径。 不久前项目管理部对公司内外重点系统进行了一次安全隐患分析测 试,并总结出了《公司安全测试问题分类及描述》的报告文档。本文 针对此报告中提到的一些重大安全隐患问题逐一分析,并给出相应的 解决方案。 1.2 参考资料 1.2 参考资料 《Java 安全性编程实例》 《网站系统安全开发手册》 《企业级 Java 安全性(构建安全的 J2EE 应用)》 2 WEB 安全隐患及预防措施 2 WEB 安全隐患及预防措施 2.1 会话标识未更新 2.1 会话标识未更新 2.1.1 描述 2.1.1 描述 登陆过程前后会话标识的比较,显示它们并未更新,这表示有可 能伪装用户。初步得知会话标识值后,远程攻击者有可能得以充当已 登录的合法用户。 2.1.2 安全级别 2.1.2 安全级别 高。 2.1.3 安全风险 2.1.3 安全风险 可能会窃取或操纵客户会话和 cookie ,它们可能用于模仿合法用 户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 2.1.4 解决方案 2.1.4 解决方案  不要接受外部创建的会话标识。  始终生成新的会话,供用户成功认证时登录。  防止用户操纵会话标识。  请勿接受用户浏览器登录时所提供的会话标识。  如果有验证码的。验证码改用 application 存储。同时记得释放 资源 2.1.5 技术实现 2.1.5 技术实现  登陆界面和登陆成功的界面一致时 修改后台逻辑,在验证登陆逻辑的时候,先强制让当前 session 过期,然后用新的 session 存储信息。  登陆界面和登陆成功的界面不一致时 在登陆界面后增加下面一段代码,强制让系统 session 过期。 request.getSession().invalidate();//清空 session Cookiecookie=request.getCookies()[0];//获取 cookie cookie.setMaxAge(0);//让 cookie 过期 注意: 框架 2.0 已经修改了登陆验证类,登陆成功后会清理掉当前 session ,重新创建一个新的session 。凡是使用框架2.0 的项目 均可统一增加此功能。 2.2 不充分帐户封锁 2.2 不充分帐户封锁 2.2.1 描述 2.2.1 描述 程序没有使用锁定功能,可以穷举密码,可以造成蛮力攻击,恶 意用户发送大量可能的密码和/或用户名以访问应用程序的尝试。由 于该技术包含大量登录尝试,未限制允许的错误登录请求次数的应用 程序很容易遭到这类攻击。 2.2.2 安全级别 2.2.2 安全级别 高。 2.2.3 安全风险 2.2.3 安全风险 可能会升级用户特权并通过Web 应用程序获取管理许可权。 2.2.4 解决方案 2.2.4 解决方案 请确定允许的登录尝试次数(通常是 3-5 次),确保超出允许的 尝试次数之后,便锁定帐户。为了避免真正的用户因帐户被锁定而致 电支持人员的麻烦,可以仅临时性暂挂帐户活动,并在特定时间段之 后启用帐户。帐户锁定大约 10 分钟,通常用这样的方法阻止蛮力攻 击。 2.2.5 技术实现 2.2.5 技术实现  提供锁定信息配置类,可根据项目特定需求修改此配置信息。  修改登陆验证逻辑,根据上面的配置信息提供帐户锁定功能。 注意: 框架 2.0 已经实现了此功能,凡是使用框架2.0 的项目均可统一 增加此功能。 2.3 可预测的登录凭证 2.3 可预测的登录凭证 2.3.1 描述 2.3.1 描述

您可能关注的文档

文档评论(0)

qicaiyan + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档