4.閱讀下列說明���,回答問題1至問題4��,將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。
【說明】
在Internet 技術(shù)飛速演變�、電子商務(wù)蓬勃發(fā)展的今天,開發(fā)的銀多應(yīng)用程序都是 Web應(yīng)用程序�,隨著微信、微博����、網(wǎng)上銀行等一系列的新型的 Web 應(yīng)用程序的誕生, Web應(yīng)用越來越廣泛�。然而 Web 應(yīng)用程序及 Web 站點(diǎn)往往很容易遭受各種各樣的入侵, Web數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中也銀容易被竊取或盜用��。如何能夠使 Web 及數(shù)據(jù)傳輸更加安全�,就顯得尤為重要。
如今���, Web 業(yè)務(wù)平臺(tái)己經(jīng)在電子商務(wù)���、企業(yè)信息化中得到廣泛應(yīng)用����,很多企業(yè)部將應(yīng)用架設(shè)在 Web 平臺(tái)上, Web 業(yè)務(wù)的迅速發(fā)展也引起了黑客們的強(qiáng)烈關(guān)注�����,他們將注意力從以往對(duì)傳統(tǒng)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì) Web 業(yè)務(wù)的攻擊上。黑客利用網(wǎng)站操作系統(tǒng)的漏洞和 Web 服務(wù)程序的 SQL 注入漏洞等得到 Web 服務(wù)器的控制權(quán)限�,輕則篡改網(wǎng)頁(yè)內(nèi)容,重則竊取重要內(nèi)部數(shù)據(jù)�����,更為嚴(yán)重的則是在網(wǎng)頁(yè)中植入惡意代碼�,使得網(wǎng)站訪問者受到侵害。
國(guó)際權(quán)威機(jī)構(gòu) Forrester 的統(tǒng)計(jì)數(shù)據(jù)表明��, 67% 的攻擊是通過應(yīng)用層的攻擊��。即是�,最簡(jiǎn)單的網(wǎng)頁(yè)瀏覽也有可能造成威脅,比如�,單擊含有病毒的網(wǎng)址、隱秘的圖片��,或者�����,單擊下載某些免費(fèi)的軟件、文件等�����,由于下載的軟件或者文件中含有未知的惡意代碼�����,當(dāng)用戶在運(yùn)行程序或者打開這些文件時(shí)���,惡意代碼被啟動(dòng)就有可能造成用戶個(gè)人信息丟失����,甚至后臺(tái)服務(wù)器系統(tǒng)出現(xiàn)漏洞給惡意攻擊者竊取信息提供方便的大門�����。
【問題1】(5分)
開源 Web 應(yīng)用安全項(xiàng)目 (OWASP) 是一個(gè)開放的社區(qū)組織�����。專注于討論應(yīng)用程序���,代碼開發(fā)的威脅討論。 TOP 10項(xiàng)目的目標(biāo)是通過找出企業(yè)組織所面臨的最嚴(yán)重的十大風(fēng)險(xiǎn)來提高人們對(duì)應(yīng)用程序安全的關(guān)注度�����。以下是其中羅列的十大最有可能發(fā)生的應(yīng)用漏洞,將選項(xiàng)A-J正確對(duì)應(yīng)到其括號(hào)內(nèi)��。
1����、注入( )
2、失效的身份認(rèn)證和會(huì)話管理()
3���、跨站腳本(XSS)( )
4�����、不安全的直接對(duì)象引用( )
5�����、安全配置錯(cuò)誤( )
6��、敏感信息泄露( )
7����、功能級(jí)訪問控制缺失( )
8、跨站請(qǐng)求偽造(CSRF)( )
9�����、使用更含有已知漏洞的組件( )
10�����、未驗(yàn)證的重定向和轉(zhuǎn)發(fā)( )
A����、如果一個(gè)帶有漏洞的組件被利用,這種攻擊可以造成更為嚴(yán)重的數(shù)據(jù)丟失或服務(wù)器接管�����,在應(yīng)用程序中使用會(huì)破壞應(yīng)用程序防御系統(tǒng)�����。
B����、攻擊者可能會(huì)竊取或篡改這些弱保護(hù)的數(shù)據(jù)以進(jìn)行信用卡詐騙、身份竊取�����,或其他犯罪。
C���、Web 應(yīng)用程序經(jīng)常將用戶重定向和轉(zhuǎn)發(fā)到其他網(wǎng)頁(yè)和網(wǎng)站,并且利用不可信的數(shù)據(jù)去判定目的頁(yè)面�。
D、迫使登錄用戶的瀏覽器將偽造的 HTTP 請(qǐng)求�����,包括該用戶的會(huì)話 cookie 和其他認(rèn)證信息�,發(fā)送到一個(gè)存在漏洞的 Web 應(yīng)用程序。
E��、應(yīng)用程序需要在每個(gè)功能被訪問時(shí)在服務(wù)器端執(zhí)行相同的訪問控制檢查����。如果請(qǐng)求沒有被驗(yàn)證,攻擊者能夠偽造請(qǐng)求以在未經(jīng)適當(dāng)授權(quán)時(shí)訪問功能��。
F����、好的安全需要對(duì)應(yīng)用程序���、框架、應(yīng)用程序服務(wù)器����、 Web 服務(wù)器����、數(shù)據(jù)庫(kù)服務(wù)器和平臺(tái)定義和執(zhí)行安全配置。
G����、攻擊者通過在應(yīng)用程序預(yù)先定義好的查詢語(yǔ)句結(jié)尾加上額外的查詢語(yǔ)句元素,欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行非授權(quán)的任意查詢���。
H��、攻擊者通過在這種鏈接中插入惡意代碼����,當(dāng)用戶不小心單擊這樣帶有惡意代碼的鏈接時(shí)�����,其用戶信息就有可能被攻擊者盜取。
I、用戶使用公共計(jì)算機(jī)瀏覽網(wǎng)站����,登錄驗(yàn)證身份之后,離開時(shí)沒有退出賬戶而是選擇直接關(guān)閉瀏覽器�����,使得下一個(gè)用戶使用相同計(jì)算機(jī)瀏覽相同瀏覽器���,可以看到上一個(gè)用戶的對(duì)話。
J���、作為授權(quán)的系統(tǒng)用戶���,攻擊者只需要修改指向一個(gè)系統(tǒng)對(duì)象的直接引用參數(shù)值�,讓其指向另一個(gè)無權(quán)的對(duì)象���。
【問題2】(2分)
SQL注入攻擊有4個(gè)基本的特點(diǎn):A����、局限性���,B�����、隱蔽性,C�、攻擊時(shí)間短���,D���、危害大��。其中哪個(gè)錯(cuò)誤的?(1分)應(yīng)該是什么�����?(1分)
【問題3】(3分)
SQL注入攻擊的危害性很大�,應(yīng)該從哪些方面來避免這種漏洞攻擊��?
【問題4】(5分)
如何防范跨站腳本(XSS)��?(3分)如何防范跨站請(qǐng)求偽造(CSRF)�?(2分)
