安恒信息学校Web应用系统安全解决方案

核心提示： 7.认证和会话管理隐患帐户凭据和会话令牌往往没有得到适当的保护，攻击者通过该隐患获取用户的密码，安恒信息学校Web应用系统安全解决方案(5)，密钥，认证令牌或假冒合法使用者的身份8.加密存储隐患Web应用程序很少正确使用加密功能来保护重要数据和证书，SQL注入攻击是存在于常见的多连接的应用程序中

7.认证和会话管理隐患

帐户凭据和会话令牌往往没有得到适当的保护。攻击者通过该隐患获取用户的密码，密钥，认证令牌或假冒合法使用者的身份

8.加密存储隐患

Web应用程序很少正确使用加密功能来保护重要数据和证书。攻击者利用该隐患可能进行身份盗窃和其他犯罪，如信用卡欺诈

9.通信隐患

当有必要为保护某些敏感通信而进行数据传送加密时，由于Web 应用本身功能的限制，导致Web应用数据传送频繁失败

10.无限制URL访问隐患

WEB应用敏感信息保护模块通过隐藏敏感信息的URL链接来防止未经授权的用户访问Web敏感信息。攻击者利用该隐患可利用社会工程学猜解敏感信息所在路径，直接访问敏感信息URL，获取WEB敏感信息

安恒根据长期针对网上银行业务系统的安全评估结果，就SQL注入漏洞、XSS跨站漏洞以及敏感信息泄露三种网上银行应用系统主要存在问题进行详细介绍。

2.1.2 SQL注入攻击

SQL注入漏洞的产生原因是网站程序在编写时，没有对用户输入数据的合法性进行判断，导致应用程序存在安全隐患。SQL注入漏洞攻击就是是利用现有应用程序没有对用户输入数据的合法性进行判断，将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。

SQL注入攻击技术就本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用程序中插入一些SQL语句时，SQL Injection攻击就发生了。

实际上，SQL注入攻击是存在于常见的多连接的应用程序中的一种漏洞，攻击者通过在应用程序预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。