攻擊應(yīng)用程序框架

1、攻擊應(yīng)用程序框架 攻擊應(yīng)用程序架構(gòu)分層架構(gòu)問題共享主機(jī)問題 攻擊Web開發(fā)框架MVC框架框架的安全之道框架自身安全提綱一個典型的三層架構(gòu)展示層 UI業(yè)務(wù)邏輯層 BLL數(shù)據(jù)層 DAL一個典型的Java應(yīng)用程序架構(gòu)應(yīng)用程序服務(wù)層展現(xiàn)層授權(quán)與驗(yàn)證層核心應(yīng)用程序框架業(yè)務(wù)邏輯層數(shù)據(jù)庫對象關(guān)系映射數(shù)據(jù)庫JDBC調(diào)用數(shù)據(jù)庫服務(wù)器TomcatWebWorkJAA/ACEGIStruts/SpringEnterprise JAVA BeansHibernateoracle.jdbc.driver.OracleDriverOracle 利用層之間的信任關(guān)系比如數(shù)據(jù)庫層完全信任訪問控制層比如操作系統(tǒng)層完全信任應(yīng)用程

2、序?qū)?破壞其它層比如加密秘鑰與加密數(shù)據(jù)之間未進(jìn)行邏輯隔離比如路徑遍歷漏洞導(dǎo)致數(shù)據(jù)庫文件被竊取比如會用包含本地日志文件執(zhí)行命令分層架構(gòu)問題 訪問機(jī)制問題數(shù)據(jù)庫訪問隔離不充分文件系統(tǒng)訪問隔離不充分 應(yīng)用程序間的攻擊WebshellSQLi、文件遍歷、命令注入漏洞共享主機(jī)問題 訪問機(jī)制問題遠(yuǎn)程訪問不安全訪問客戶未隔離 應(yīng)用程序攻擊預(yù)留后門客戶應(yīng)用程序漏洞ASP組件漏洞共享應(yīng)用程序服務(wù)ASP信用卡公司高級零售商終端用戶主機(jī)和維護(hù)架構(gòu)，開發(fā)核心應(yīng)用程序、提供更新和支持按照商業(yè)需求定制核心功能定制外層應(yīng)用程序和非功能性內(nèi)容使用應(yīng)用程序 克隆系統(tǒng) 云中的管理工具 功能優(yōu)先 基于令牌的訪問 Web存儲云安全M

3、VC框架ControllerModelViewUser ActionUpdateNotifyUpdateXSSInjection Django Templateshello, name | escape ! Velocity#SXML ($xml)#SJS($js)模板引擎與XSS防御模板文件數(shù)據(jù)模板引擎HTML文檔 校驗(yàn)Referer 添加Token在form表單中自動填入Ajax中自動添加 RailsProtect_from_forgery : secret = “1234567890.” Djangodjango.middleware.csrf.CsrfViewMiddleware % csrf_token %From Django.core.context_processors import csrfWeb框架與CSRF CRLF注入問題 重定向URL驗(yàn)證問題 Cookie安全問題HTTP Headers管理 ORM框架動態(tài)變量 $value$靜態(tài)變量 #value# DjangoDatabase API數(shù)據(jù)持久層與SQL注入 Apache Struts2/confluence/d