使用 Rational AppScan 保证 Web 应用的安全性,第 1 部分: Web 安全与 Rational AppScan 入门
2009-11-20 00:00:00 来源:WEB开发网核心提示: Authentication(验证)用来确认某用户、服务或是应用身份的攻击手段,Authorization(授权)用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段,使用 Rational AppScan 保证 Web 应用的安全性,第 1 部分: Web 安全与 Rationa
Authentication(验证)用来确认某用户、服务或是应用身份的攻击手段。Authorization(授权)用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。Client-Side Attacks(客户侧攻击)用来扰乱或是探测 Web 站点用户的攻击手段。Command Execution(命令执行)在 Web 站点上执行远程命令的攻击手段。Information Disclosure(信息暴露)用来获取 Web 站点具体系统信息的攻击手段。Logical Attacks(逻辑性攻击)用来扰乱或是探测 Web 应用逻辑流程的攻击手段。
Open Web Application Security Project(OWASP),该组织致力于发现和解决不安全 Web 应用的根本原因。它们最重要的项目之一是“Web 应用的十大安全隐患”,总结了目前 Web 应用最常受到的十种攻击手段,并且按照攻击发生的概率进行了排序。这个项目的目的是统一业界最关键的 Web 应用安全隐患,并且加强企业对 Web 应用安全的意识。
图 3: Web 应用十大安全隐患
IBM Rational,是上述两个组织的成员。
常见的 Web 应用攻击示例
在 OWASP 组织列举的十大 Web 应用安全隐患中,有两个概率最高的攻击手段,它们分别是“跨站点脚本攻击”(Cross-Site Scripting)和“注入缺陷”(Injection Flaws)。下面将通过举例来说明这两种攻击是如何实施的。
1、 跨站点脚本攻击
首先来看一下跨站点脚本的利用过程,如图 4。
- 中查找“使用 Rational AppScan 保证 Web 应用的安全性,第 1 部分: Web 安全与 Rational AppScan 入门”更多相关内容
- 中查找“使用 Rational AppScan 保证 Web 应用的安全性,第 1 部分: Web 安全与 Rational AppScan 入门”更多相关内容
- 上一篇:使用 Rational AppScan 保证 Web 应用的安全性,第 2 部分: 使用 Rational AppScan 应对 Web 应用攻击
- 下一篇:IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,第 2 部分:企业级 Web 应用安全解决方案实例
更多精彩
赞助商链接