所有使用者輸入都不可信。
要求使用者提交使用者名稱與密碼,由應用程式對其進行核實,確認其合法性。
使用者將被作為匿名處理,成為最低一級的信任。
令牌是乙個唯一的字串串,用來進行驗證使用者身份。
簡單的解釋一下,就是什麼樣的使用者許可權,訪問什麼樣的資料。還有就是什麼樣的使用者使用什麼樣的功能。
eg:普通使用者訪問普通資料
管理員訪問管理員資料
訪問控制而言,這裡的攻擊面一般就是越權。
這裡涉及到的邏輯一般有:
輸入確認 input validation
7.2.1 拒絕已知的不良輸入
黑名單攻擊面:
侷限性它不可能包括所有的攻擊方式。
7.2.2 接受已知的正常輸入
白名單只允許通過白名單上存在的內容
eg:csp
7.2.3 淨化(過濾/轉義)
對輸入的內容進行過濾或者轉義。
攻擊面:
遺漏的未知的繞過方式
7.2.4 安全資料處理????
使用安全程式設計方法避免常見問題
7.2.5 語法檢查
未授權訪問,邏輯漏洞,身份檢查
在不同的元件或功能單元前或者說是邊界前處理輸入資料。
多步確認就是說,在對字串進行過濾或者刪除的過程中,進行多步的確定
資料規範化,導致二次編碼等問題。
在一些情況下,攻擊者能夠利用存在缺陷的錯誤處理方法從錯誤訊息中獲取敏感資訊。
有效的日誌
警報監控
讀《黑客攻防技術寶典 WEB實戰篇》
6.2.1 密碼保密性不強 弱密碼,web應用並未對使用者自定義的密碼進行約束。6.2.2 蠻力攻擊登入 暴力破解,應用程式允許攻擊者無阻力地不斷嘗試錯誤密碼,直到猜對,不採取阻攔。6.2.3 詳細的失敗訊息 類似於登入失敗後顯示的 使用者不存在 和 密碼錯誤 這樣會幫助攻擊者確定username和...
黑客攻防技術寶典web實戰 第四章解析應用程式
手動瀏覽在我們的日常生活中很常見,但是在我們進行攻擊的時候,我們需要去仔細檢查每一項功能,我們有必要去進行抓取。使用者使用它通過標準瀏覽器以常規方式瀏覽應用程式,試圖列舉應用程式中的所有功能 burp intruder可用於迴圈訪問一組常見的目錄名稱並收集伺服器的響應資訊。可以獲取該目錄下的資源等。...
黑客攻防技術寶典 反病毒篇筆記(三)
所有反病毒引擎自始至終都在使用反病毒特徵碼技術。特徵碼一般是一串包括判斷檔案或緩衝區是否存在已知惡意檔案特徵的短小雜湊值或位元組碼。位元組流是最簡單的反病毒特徵碼形式,偵測病毒最簡單的方式就是匹配特徵位元組流,因為其簡單而快速。目前反病毒最常用的特徵碼匹配技術是基於計算匹配crc實現的。crc 迴圈...