代码注入。包括SQL注入在内的广义攻击,它取决于插入代码并由应用程序执行。
会话固定。这是一种会话攻击,通过该漏洞攻击者可以劫持一个有效的用户会话。会话固定攻击可以在受害者的浏览器上修改一个已经建立好的会话,因此,在用户登录前可以进行恶意攻击。
路径访问,或者“目录访问”。该漏洞旨在访问储存在Web根文件外的文件或者目录。
弱密码,字符少、数字长度短以及缺少特殊符号。这种密码相对容易。
硬编码加密密钥,提供一种虚假的安全感。一些人认为在存储之前将硬编码密码分散可以有助于保护信息免受恶意用户攻击。但是许多这种分散是可逆的过程。
1、熟悉软件功能、功能实现,配置等;如:IIS的虚拟目录、脚本映射。
2、根据功能,分析安全需求,建立安全模型;IIS外挂,文件类型识别,目录正确识别;目录限制;外挂的特点;权限不是在文件对象上,需要自己识别文件,所以需要识别出同一个文件的所有文件名。
3、根据安全需求,分析编程应注意的地方,重点检查。IIS要对"../"进行检测,连接文件的处理,识别出正确的目录、文件名;编程接口完全按接口实现。
扩展资料
按照系统安全的观点,世界上不存在绝对安全的事物,任何人类活动中都潜伏着危险因素。能够造成事故的潜在危险因素称做危险源,它们是一些物的故障、人的失误、不良的环境因素等。某种危险源造成人员伤害或物质损失的可能性称做危险性,它可以用危险度来度量。
这些复杂的系统往往由数以千万计的元素组成,元素之间的非常复杂的关系相连接,在被研究制造或使用过程中往往涉及到高能量,系统中微小的差错就会导致灾难性的事故。大规模复杂系统安全性问题受到了人们的关注,于是,出现了系统安全理论和方法。