Video: Privacy, Security, Society - Computer Science for Business Leaders 2016 2024
Sistem berasaskan web mengandungi banyak komponen, termasuk kod aplikasi, sistem pengurusan pangkalan data, sistem pengendalian, middleware dan perisian pelayan web itu sendiri. Komponen ini boleh, secara individu dan secara kolektif, mempunyai reka bentuk keselamatan atau kecacatan pelaksanaan. Beberapa kecacatan yang ada termasuk ini:
- Kegagalan untuk menyekat serangan suntikan. Serangan seperti suntikan JavaScript dan suntikan SQL boleh membenarkan penyerang untuk menyebabkan aplikasi web rosak dan mendedahkan data yang disimpan secara sensitif.
- Pengesahan yang salah. Terdapat banyak cara di mana laman web dapat melaksanakan pengesahan - mereka terlalu banyak untuk disenaraikan di sini. Pengesahan adalah penting untuk mendapatkan hak; banyak laman web gagal melakukannya.
- Pengurusan sesi yang rosak. Pelayan web membuat "sesi" logik untuk menjejaki pengguna individu. Mekanisme pengurusan sesi laman web banyak terdedah kepada penyalahgunaan, terutamanya yang membenarkan penyerang mengambil alih sesi pengguna lain.
- Kegagalan untuk menyekat serangan skrip tapak silang. Laman Web yang gagal untuk memeriksa dan membersihkan data input. Akibatnya, penyerang kadang-kadang boleh membuat serangan yang menghantar kandungan berniat jahat kepada pengguna.
- Kegagalan untuk menghalang serangan pemalsuan permintaan silang tapak. Laman web yang gagal menggunakan sesi yang betul dan pengurusan konteks sesi boleh terdedah kepada serangan di mana pengguna ditipu ke dalam menghantar perintah ke laman web yang boleh menyebabkan mereka membahayakan.
Contohnya ialah penyerang menipu pengguna untuk mengklik pautan yang sebenarnya membawa pengguna ke URL seperti ini:
// bank. com / pemindahan? tohackeraccount: amount = 99999. 99. - Kegagalan untuk melindungi rujukan objek langsung. Laman web kadang-kadang boleh ditipu untuk mengakses dan menghantar data kepada pengguna yang tidak diberi kuasa untuk melihat atau mengubahnya.
Kelemahan ini boleh dikurangkan dalam tiga cara utama:
- Latihan pemaju mengenai teknik pembangunan perisian selamat
- Termasuk keselamatan dalam kitaran hayat pembangunan
- Penggunaan aplikasi dinamik dan statik alat pengimbas
