攻擊應用程序框架

1、攻擊應用程序框架 攻擊應用程序架構分層架構問題共享主機問題 攻擊Web開發(fā)框架MVC框架框架的安全之道框架自身安全提綱一個典型的三層架構展示層 UI業(yè)務邏輯層 BLL數(shù)據(jù)層 DAL一個典型的Java應用程序架構應用程序服務層展現(xiàn)層授權與驗證層核心應用程序框架業(yè)務邏輯層數(shù)據(jù)庫對象關系映射數(shù)據(jù)庫JDBC調用數(shù)據(jù)庫服務器TomcatWebWorkJAA/ACEGIStruts/SpringEnterprise JAVA BeansHibernateoracle.jdbc.driver.OracleDriverOracle 利用層之間的信任關系比如數(shù)據(jù)庫層完全信任訪問控制層比如操作系統(tǒng)層完全信任應用程

2、序層 破壞其它層比如加密秘鑰與加密數(shù)據(jù)之間未進行邏輯隔離比如路徑遍歷漏洞導致數(shù)據(jù)庫文件被竊取比如會用包含本地日志文件執(zhí)行命令分層架構問題 訪問機制問題數(shù)據(jù)庫訪問隔離不充分文件系統(tǒng)訪問隔離不充分 應用程序間的攻擊WebshellSQLi、文件遍歷、命令注入漏洞共享主機問題 訪問機制問題遠程訪問不安全訪問客戶未隔離 應用程序攻擊預留后門客戶應用程序漏洞ASP組件漏洞共享應用程序服務ASP信用卡公司高級零售商終端用戶主機和維護架構，開發(fā)核心應用程序、提供更新和支持按照商業(yè)需求定制核心功能定制外層應用程序和非功能性內容使用應用程序 克隆系統(tǒng) 云中的管理工具 功能優(yōu)先 基于令牌的訪問 Web存儲云安全M

3、VC框架ControllerModelViewUser ActionUpdateNotifyUpdateXSSInjection Django Templateshello, name | escape ! Velocity#SXML ($xml)#SJS($js)模板引擎與XSS防御模板文件數(shù)據(jù)模板引擎HTML文檔 校驗Referer 添加Token在form表單中自動填入Ajax中自動添加 RailsProtect_from_forgery : secret = “1234567890.” Djangodjango.middleware.csrf.CsrfViewMiddleware % csrf_token %From Django.core.context_processors import csrfWeb框架與CSRF CRLF注入問題 重定向URL驗證問題 Cookie安全問題HTTP Headers管理 ORM框架動態(tài)變量 $value$靜態(tài)變量 #value# DjangoDatabase API數(shù)據(jù)持久層與SQL注入 Apache Struts2/confluence/d