Web安全问题及防范规范之数据安全性_B/S开发框架

Web站点为什么会遭受攻击?是为了恶作剧?损害企业名誉?免费浏览收费内容?盗窃用户隐私信息?获取用户账号谋取私利?总之攻击方式层出不穷,作为B/S开发框架来说,帮助开发者做好解决安全问题也是刻不容缓的,本篇文章怎么来巩固软件数据安全性。

适用范围

B/S开发框架中Web网站使用JSON/XML存储数据。

攻击原理

云微开发平台B/S开发框架主要是采用现代信息存储手段和传输技术对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾、传输加密序列化、权限授权等手段保证数据的安全,数据安全是一种主动的包含措施,web开发框架数据本身的安全必须基于可靠的加密算法与安全体系,主要是有对称算法与公开密钥密码体系两种。

一、JSON注入

 
		string user = "test01";
		string password = "12345', admin:'true";
		string json = String.Format("{user:'{0}', password:'{1}'}", user, password);

   输出结果:

{user:'test01', password:'12345', admin:'true'}

二、XPath注入

 
	XmlDocument xmlDoc = new XmlDocument();
	//进行xmlpath查询 这里用字符串拼接,触发漏洞
	string Xpath = "/root/user[username='" + UserName + "']";
	xmlDoc.Load(Server.MapPath("Users.xml"));
	XmlNodeList xmlList = xmlDoc.SelectNodes(Xpath);

三、XXE注入

 
	<?xml
version="1.0" encoding="UTF-8" ?>
	<!DOCTYPE
netspi [<!ENTITY xxe SYSTEM "file:///c:/passwd.txt" >]>
	<root>
	<search>name</search>
	<value>&xxe;</value>
	</root>

四、防火墙没起作用。

解决方案

应用程序处理

一、使用序列化/反序列化,而不要直接拼接JSON语句。

二、不使用XPath语法,或不要直接拼接XPath语句。

三、禁止引用外部实体、禁用内联DOCTYPE声明等。

四、防火墙的建立。

五、数据加密,非明文传输和存储。

六、单点登录。

七、资源访问授权。

web开发框架数据安全图

管理处理

使用第三方收费的Web应用防火墙

例如阿里云Web应用防火墙,或亚马逊AWS WAF等。

物理处理


Web站点为什么会遭受攻击?是为了恶作剧?损害企业名誉?免费浏览收费内容?盗窃用户隐私信息?获取用户账号谋取私利?总之攻击方式层出不穷,作为B/S开发框架来说,帮助开发者做好解决安全问题也是刻不容缓的,本篇文章怎么来巩固软件数据安全性。

标签: B/S开发框架Web安全问题及防范规范标签

网站&系统开发技术学习交流群:463167176

本站文章除注明转载外,均为本站原创或翻译,欢迎任何形式的转载,但请务必注明出处,尊重他人劳动,共创和谐网络环境。
转载请注明:文章转载自:华晨软件-云微开发平台 » Web安全问题及防范规范之数据安全性_B/S开发框架
本文标题:Web安全问题及防范规范之数据安全性_B/S开发框架
本文地址:http://www.hocode.com/OrgTec/Back/0021.html

相关文章: 初识CSS3 Animation动画

电话
电话 18718672256

扫一扫
二维码