- Văn bản
- Lịch sử
As with most distributed applicatio
As with most distributed applications, web applications face a fundamental
problem they must address to be secure. Because the client is outside of the
application’s control, users can submit arbitrary input to the server-side application.
The application must assume that all input is potentially malicious.
Therefore, it must take steps to ensure that attackers cannot use crafted input
to compromise the application by interfering with its logic and behavior, thus
gaining unauthorized access to its data and functionality.
This core problem manifests itself in various ways:
n Users can interfere with any piece of data transmitted between the client
and the server, including request parameters, cookies, and HTTP headers.
Any security controls implemented on the client side, such as input
validation checks, can be easily circumvented.
n Users can send requests in any sequence and can submit parameters at a
different stage than the application expects, more than once, or not at all.
Any assumption developers make about how users will interact with the
application may be violated.
n Users are not restricted to using only a web browser to access the application.
Numerous widely available tools operate alongside, or independently of,
a browser to help attack web applications. These tools can make requests
that no browser would ordinarily make and can generate huge numbers
of requests quickly to fi nd and exploit problems.
The majority of attacks against web applications involve sending input to the
server that is crafted to cause some event that was not expected or desired by
the application’s designer. Here are some examples of submitting crafted input
to achieve this objective:
n Changing the price of a product transmitted in a hidden HTML form fi eld
to fraudulently purchase the product for a cheaper amount
n Modifying a session token transmitted in an HTTP cookie to hijack the
session of another authenticated user
n Removing certain parameters that normally are submitted to exploit a
logic fl aw in the application’s processing
n Altering some input that will be processed by a back-end database to inject
a malicious database query and access sensitive data
Needless to say, SSL does nothing to stop an attacker from submitting crafted
input to the server. If the application uses SSL, this simply means that other users
on the network cannot view or modify the attacker’s data in transit. Because
c01.indd 9 c01.indd 9 8/19/2011 12:02:03 PM 8/19/2011 12:02:03 PM
Stuttard c01.indd V2 - 07/07/2011 Page 10
10 Chapter 1 n Web Application (In)security
the attacker controls her end of the SSL tunnel, she can send anything she likes
to the server through this tunnel. If any of the previously mentioned attacks
are successful, the application is emphatically vulnerable, regardless of what
its FAQ may tell you.
problem they must address to be secure. Because the client is outside of the
application’s control, users can submit arbitrary input to the server-side application.
The application must assume that all input is potentially malicious.
Therefore, it must take steps to ensure that attackers cannot use crafted input
to compromise the application by interfering with its logic and behavior, thus
gaining unauthorized access to its data and functionality.
This core problem manifests itself in various ways:
n Users can interfere with any piece of data transmitted between the client
and the server, including request parameters, cookies, and HTTP headers.
Any security controls implemented on the client side, such as input
validation checks, can be easily circumvented.
n Users can send requests in any sequence and can submit parameters at a
different stage than the application expects, more than once, or not at all.
Any assumption developers make about how users will interact with the
application may be violated.
n Users are not restricted to using only a web browser to access the application.
Numerous widely available tools operate alongside, or independently of,
a browser to help attack web applications. These tools can make requests
that no browser would ordinarily make and can generate huge numbers
of requests quickly to fi nd and exploit problems.
The majority of attacks against web applications involve sending input to the
server that is crafted to cause some event that was not expected or desired by
the application’s designer. Here are some examples of submitting crafted input
to achieve this objective:
n Changing the price of a product transmitted in a hidden HTML form fi eld
to fraudulently purchase the product for a cheaper amount
n Modifying a session token transmitted in an HTTP cookie to hijack the
session of another authenticated user
n Removing certain parameters that normally are submitted to exploit a
logic fl aw in the application’s processing
n Altering some input that will be processed by a back-end database to inject
a malicious database query and access sensitive data
Needless to say, SSL does nothing to stop an attacker from submitting crafted
input to the server. If the application uses SSL, this simply means that other users
on the network cannot view or modify the attacker’s data in transit. Because
c01.indd 9 c01.indd 9 8/19/2011 12:02:03 PM 8/19/2011 12:02:03 PM
Stuttard c01.indd V2 - 07/07/2011 Page 10
10 Chapter 1 n Web Application (In)security
the attacker controls her end of the SSL tunnel, she can send anything she likes
to the server through this tunnel. If any of the previously mentioned attacks
are successful, the application is emphatically vulnerable, regardless of what
its FAQ may tell you.
0/5000
Như với đặt phân phối các ứng dụng, ứng dụng web phải đối mặt với một cơ bảnvấn đề họ phải địa chỉ để được an toàn. Vì các khách hàng bên ngoài cáckiểm soát ứng dụng, người dùng có thể gửi bất kỳ đầu vào cho phía máy chủ ứng dụng.Các ứng dụng phải thừa nhận rằng tất cả đầu vào là khả năng có thể độc hại.Do đó, nó phải thực hiện các bước để đảm bảo rằng kẻ tấn công không thể sử dụng crafted đầu vàođể thỏa hiệp các ứng dụng bằng cách can thiệp với logic và hành vi, do đóđạt được quyền truy cập trái phép vào dữ liệu và chức năng của nó.Vấn đề cốt lõi này thể hiện trong nhiều cách khác nhau:n người dùng có thể can thiệp với bất kỳ phần của dữ liệu truyền giữa các khách hàngvà server, bao gồm các thông số yêu cầu, cookie và phần đầu HTTP.Bất kỳ kiểm soát an ninh thực hiện trên phía khách hàng, chẳng hạn như đầu vàokiểm tra xác nhận, có thể được dễ dàng circumvented.n người dùng có thể gửi các yêu cầu theo thứ tự nào và có thể gửi các thông số tại mộtCác giai đoạn khác nhau hơn so với các ứng dụng mong muốn, nhiều hơn một lần, hoặc không gì cả.Bất kỳ nhà phát triển giả định thực hiện về cách người dùng tương tác với cácứng dụng có thể được vi phạm.n người dùng không phải là bị giới hạn để sử dụng chỉ là một trình duyệt web để truy cập vào các ứng dụng.Rất nhiều các công cụ có sẵn rộng rãi hoạt động gần, hoặc independently of,một trình duyệt để giúp các ứng dụng web tấn công. Những công cụ này có thể thực hiện yêu cầukhông trình duyệt nào thường thực hiện và có thể tạo ra số lượng rất lớnyêu cầu một cách nhanh chóng để fi nd và khai thác các vấn đề.Phần lớn các cuộc tấn công chống lại các ứng dụng web liên quan đến việc gửi các đầu vào cho cácmáy chủ là crafted để gây ra một số sự kiện đó đã không mong đợi hay mong muốn củathiết kế các ứng dụng. Dưới đây là một số ví dụ về trình crafted đầu vàođể đạt được mục tiêu này:n thay đổi giá của một sản phẩm truyền trong một HTML ẩn dạng fi eldgian lận mua sản phẩm cho một số tiền rẻ hơnn sửa đổi một mã thông báo phiên giao dịch truyền trong một cookie HTTP để cướp củaPhiên làm việc của một người dùng xác thựcn cách loại bỏ các thông số nhất định thường được gửi để khai thác mộtlogic fl đã xảy ra trong các ứng dụng chế biếnn thay đổi một số đầu vào sẽ được xử lý bởi một cơ sở dữ liệu back-end để tiêmmột độc hại cơ sở dữ liệu truy vấn và truy cập dữ liệu nhạy cảmNeedless to say, SSL không có gì để ngăn chặn kẻ tấn công từ đệ craftednhập vào hệ phục vụ. Nếu ứng dụng sử dụng SSL, điều này chỉ đơn giản có nghĩa là người dùng kháctrên mạng không thể xem hoặc sửa đổi dữ liệu của kẻ tấn công trên đường vận chuyển. Bởi vìC01.indd 9 c01.indd 9 8/19/2011 12:02:03 PM 19-8-2011 12:02:03 PMStuttard c01.indd V2 - 07/07/2011 trang 1010 chương 1 n ứng dụng Web (bảo mật trong)những kẻ tấn công kiểm soát của cô cuối đường hầm SSL, cô có thể gửi bất cứ điều gì cô ấy thíchđể các máy chủ thông qua đường hầm này. Nếu bất kỳ của các cuộc tấn công đã đề cậpđang thành công, ứng dụng này nhấn mạnh dễ bị tổn thương, bất kể những gìFAQ của nó có thể cho bạn biết.
đang được dịch, vui lòng đợi..
Như với hầu hết các ứng dụng phân tán, các ứng dụng web phải đối mặt với một cơ bản
vấn đề mà họ phải giải quyết để được an toàn. Bởi vì các khách hàng nằm ngoài
kiểm soát của ứng dụng, người dùng có thể gửi đầu vào tùy ý để các ứng dụng phía máy chủ.
Các ứng dụng phải giả định rằng tất cả các đầu vào là khả năng độc hại.
Do đó, nó phải thực hiện các bước để đảm bảo rằng những kẻ tấn công không thể sử dụng thủ công đầu vào
để thỏa hiệp ứng dụng bằng cách can thiệp với logic và hành vi của nó, do đó
. đạt được quyền truy cập trái phép vào dữ liệu và chức năng của nó
có vấn đề cốt lõi này thể hiện ở nhiều cách khác nhau:
n người dùng có thể can thiệp với bất kỳ mảnh dữ liệu được truyền giữa máy khách
và máy chủ, bao gồm các thông số yêu cầu, cookies , và các tiêu đề HTTP.
Bất kỳ điều khiển bảo mật thực hiện trên các mặt hàng, chẳng hạn như đầu vào
kiểm tra xác nhận, có thể dễ dàng phá vỡ.
n người dùng có thể gửi các yêu cầu trong bất kỳ trình tự và có thể gửi các thông số ở một
giai đoạn khác nhau hơn so với các ứng dụng mong muốn, hơn một lần, hoặc không gì cả.
Bất kỳ nhà phát triển giả định làm cho khoảng cách người dùng sẽ tương tác với các
ứng dụng có thể bị vi phạm.
n người dùng không bị giới hạn chỉ sử dụng một trình duyệt web để truy cập vào các ứng dụng.
Nhiều công cụ có sẵn rộng rãi hoạt động bên cạnh, hoặc độc lập,
trình duyệt để giúp các ứng dụng web bị tấn công. Những công cụ này có thể làm cho các yêu cầu
mà không có trình duyệt thông thường sẽ thực hiện và có thể tạo ra số lượng lớn
các yêu cầu một cách nhanh chóng để fi nd và khai thác vấn đề.
Phần lớn các cuộc tấn công chống lại các ứng dụng web bao gồm việc gửi đầu vào cho các
máy chủ được crafted để gây ra một số sự kiện mà không được trông đợi hoặc mong muốn của
nhà thiết kế của ứng dụng. Dưới đây là một số ví dụ về trình đầu vào crafted
để đạt được mục tiêu này:
n Thay đổi giá của một sản phẩm truyền trong một ẩn dạng HTML fi lĩnh
để gian lận mua sản phẩm cho một số tiền rẻ hơn
n Sửa đổi một mã thông báo phiên truyền trong một cookie để cướp
phiên họp của một người dùng xác thực
n Loại bỏ tham số nhất định mà thường được đệ trình để khai thác một
lý fl aw trong xử lý của ứng dụng
n Thay đổi một số đầu vào sẽ được xử lý bởi một cơ sở dữ liệu back-end để tiêm
một truy vấn cơ sở dữ liệu độc hại và truy cập dữ liệu nhạy cảm
cần phải nói , SSL không làm gì để ngăn chặn một cuộc tấn công từ trình crafted
đầu vào cho các máy chủ. Nếu ứng dụng sử dụng SSL, điều này chỉ có nghĩa rằng những người dùng khác
trên mạng không thể xem hoặc sửa đổi dữ liệu của kẻ tấn công trên đường vận chuyển. Bởi vì
c01.indd 9 c01.indd 9 2011/08/19 12:02:03 2011/8/19 12:02:03
Stuttard c01.indd V2 - 07/07/2011 Page 10
10 Chương 1 n Web Application (không) an ninh
kẻ tấn công kiểm soát cuối đường hầm SSL của mình, cô có thể gửi bất cứ điều gì cô ấy thích
đến máy chủ thông qua đường hầm này. Nếu bất kỳ của các cuộc tấn công đã đề cập
là thành công, ứng dụng là một cách dứt khoát dễ bị tổn thương, bất kể những gì
thành của nó có thể cho bạn biết.
vấn đề mà họ phải giải quyết để được an toàn. Bởi vì các khách hàng nằm ngoài
kiểm soát của ứng dụng, người dùng có thể gửi đầu vào tùy ý để các ứng dụng phía máy chủ.
Các ứng dụng phải giả định rằng tất cả các đầu vào là khả năng độc hại.
Do đó, nó phải thực hiện các bước để đảm bảo rằng những kẻ tấn công không thể sử dụng thủ công đầu vào
để thỏa hiệp ứng dụng bằng cách can thiệp với logic và hành vi của nó, do đó
. đạt được quyền truy cập trái phép vào dữ liệu và chức năng của nó
có vấn đề cốt lõi này thể hiện ở nhiều cách khác nhau:
n người dùng có thể can thiệp với bất kỳ mảnh dữ liệu được truyền giữa máy khách
và máy chủ, bao gồm các thông số yêu cầu, cookies , và các tiêu đề HTTP.
Bất kỳ điều khiển bảo mật thực hiện trên các mặt hàng, chẳng hạn như đầu vào
kiểm tra xác nhận, có thể dễ dàng phá vỡ.
n người dùng có thể gửi các yêu cầu trong bất kỳ trình tự và có thể gửi các thông số ở một
giai đoạn khác nhau hơn so với các ứng dụng mong muốn, hơn một lần, hoặc không gì cả.
Bất kỳ nhà phát triển giả định làm cho khoảng cách người dùng sẽ tương tác với các
ứng dụng có thể bị vi phạm.
n người dùng không bị giới hạn chỉ sử dụng một trình duyệt web để truy cập vào các ứng dụng.
Nhiều công cụ có sẵn rộng rãi hoạt động bên cạnh, hoặc độc lập,
trình duyệt để giúp các ứng dụng web bị tấn công. Những công cụ này có thể làm cho các yêu cầu
mà không có trình duyệt thông thường sẽ thực hiện và có thể tạo ra số lượng lớn
các yêu cầu một cách nhanh chóng để fi nd và khai thác vấn đề.
Phần lớn các cuộc tấn công chống lại các ứng dụng web bao gồm việc gửi đầu vào cho các
máy chủ được crafted để gây ra một số sự kiện mà không được trông đợi hoặc mong muốn của
nhà thiết kế của ứng dụng. Dưới đây là một số ví dụ về trình đầu vào crafted
để đạt được mục tiêu này:
n Thay đổi giá của một sản phẩm truyền trong một ẩn dạng HTML fi lĩnh
để gian lận mua sản phẩm cho một số tiền rẻ hơn
n Sửa đổi một mã thông báo phiên truyền trong một cookie để cướp
phiên họp của một người dùng xác thực
n Loại bỏ tham số nhất định mà thường được đệ trình để khai thác một
lý fl aw trong xử lý của ứng dụng
n Thay đổi một số đầu vào sẽ được xử lý bởi một cơ sở dữ liệu back-end để tiêm
một truy vấn cơ sở dữ liệu độc hại và truy cập dữ liệu nhạy cảm
cần phải nói , SSL không làm gì để ngăn chặn một cuộc tấn công từ trình crafted
đầu vào cho các máy chủ. Nếu ứng dụng sử dụng SSL, điều này chỉ có nghĩa rằng những người dùng khác
trên mạng không thể xem hoặc sửa đổi dữ liệu của kẻ tấn công trên đường vận chuyển. Bởi vì
c01.indd 9 c01.indd 9 2011/08/19 12:02:03 2011/8/19 12:02:03
Stuttard c01.indd V2 - 07/07/2011 Page 10
10 Chương 1 n Web Application (không) an ninh
kẻ tấn công kiểm soát cuối đường hầm SSL của mình, cô có thể gửi bất cứ điều gì cô ấy thích
đến máy chủ thông qua đường hầm này. Nếu bất kỳ của các cuộc tấn công đã đề cập
là thành công, ứng dụng là một cách dứt khoát dễ bị tổn thương, bất kể những gì
thành của nó có thể cho bạn biết.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Thời gian làm lạnh, sự chênh lệch nhiệt
- Quý ông rắc rối
- I love you
- Nhưng mình dở tiếng anh quá!
- Quy mô doanh nghiệp càng lớn chứng t
- Giám đốc hiện nay là ông ABC là người tr
- 彼女を行かせる. 彼女を手放す
- Một số ví dụ về trang phục bạn kh
- Ông hoàng rắc rối
- sau hai lần
- Giám đốc hiện nay là ông ABC là người tr
- Chọn chức năng phân tích+ Quá trình điền
- Ông hoàng xui xẻo
- 彼女を行かせる. 彼女を手放す
- Current Director is Mr. ABC is the direc
- B1= 0,0565879 có nghĩa là quy mô doan
- hôn em trong giấc mơ
- One specific tactic we will see more of
- Only you
- 彼女を手放す
- Chỉ một
- 1. Những lỗ cần gia công trên các tấm kh
- Just one
