WEB开发网
开发学院软件开发Java WebSphere Application Server V7 高级安全性加强... 阅读

WebSphere Application Server V7 高级安全性加强,第 1 部分:安全性加强概述和方法(上)

 2010-07-23 00:00:00 来源:WEB开发网   
核心提示: 最小的错误也可能破坏整个系统的完整性,使用缓冲区溢出技术来控制基于 C/C++ 的系统是对此最好的例证,WebSphere Application Server V7 高级安全性加强,第 1 部分:安全性加强概述和方法(上)(6),在本质上,入侵者传递一个大于现有缓冲区的字符串,了解攻击的形式是

最小的错误也可能破坏整个系统的完整性。使用缓冲区溢出技术来控制基于 C/C++ 的系统是对此最好的例证。在本质上,入侵者传递一个大于现有缓冲区的字符串。那么多出的信息会覆盖正在运行的程序的一部分,导致运行时执行本不应该执行的指令。注意,通过这种方法,入侵者可以让程序做几乎任何事情。作为安全架构师,要想识别这种攻击,就必须深入理解 C/C++ 运行时如何管理内存和执行在运行的程序。即使您了解缓冲区溢出问题的存在,仍然必须检查每一行代码以发现这个漏洞。目前,我们已经了解了这种攻击,但是它仍然能够攻击成功,这是因为个别程序员做出了非常小的错误决策,它会危及整个系统的安全。幸运的是,这种攻击在 Java™ 中不奏效,但是其他小错误仍然可能导致系统受到威胁。

要对安全性进行认真的考虑;这是很难的。

安全性加强概述

J2EE 规范和 WebSphere Application Server 提供了一种用于实现安全系统的强大的基础设施。遗憾的是,许多人没有意识到创建基于 WebSphere Application Server 的安全系统的各种相关问题。这些信息有许多自由度和许多不同的来源,所以一些用户往往会忽视安全性问题,部署的系统不够安全。为了避免这种情况,本节对最关键的问题进行总结。

安全性加强指的是通过配置 WebSphere Application Server、开发应用程序和配置其他各种相关组件,尽可能提高安全性 —— 其本质就是防止、阻碍或减轻各种形式的攻击。要想使安全性得到有效加强,了解攻击的形式是很重要的。攻击应用服务器有四种基本方法:

基于网络的攻击:这些攻击依赖于对网络数据包的低层访问,试图通过修改通信流或者发现这些数据包中的信息来危害系统。

上一页  1 2 3 4 5 6 7 8 9 10  下一页

Tags:WebSphere Application Server

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接