資訊安全網標誌
English 繁體版 简体版

瀏覽選單一

一般使用者青少年及學生家長及教師資訊科技專業人員中小型企業
back to top 常見問題 back to top 搜尋:
字型大小: 字型大小:原設定 (A) 字型大小:較大 (A) 字型大小:最大 (A)
一般使用者 青少年及學生 家長及老師 資訊科技專業人員 中小型企業

瀏覽選單二

 

網 上 應 用 程 式 保 安  

 
 

網 上 應 用 系 統 的 一 般 保 安 漏 洞

OWSAP是 一 個 遍 佈 世 界 的 自 願 參 加 者 社 群 , 目 標 是 讓 網 上 應 用 系 統 的 保 安 顯 而 易 見 。 人 們 和 機 構 可 以 根 據 應 用 系 統 保 安 風 險 的 資 訊 作 出 決 策 。

透 過 OWASP的 指 導 以 建 立 網 上 應 用 系 統 的 保 安 是 一 個 不 錯 的 參 考 機 構 歸 納 出 網 上 應 用 系 統 十 大 關 鍵 保 安 漏 洞 , 系 統 的 開 發 者 應 該 注 意 這 些 一 般 性 的 保 安 漏 洞 , 並 制 定 程 式 開 發 的 標 準 , 避 免 這 樣 的 問 題 在 編 碼 階 段 發 生 。

1. 跨 網 址 程 式 編 程 攻 擊 ( Cross Site Scripting, XSS

跨 網 址 程 式 編 程 攻 擊 ( XSS) 的 潛 在 威 脅 是 允 許 在 受 害 者 的 瀏 覽 器 執 行 手 稿 程 式 ( Script) , 導 致 劫 持 用 戶 對 話 、 竄 改 網 站 並 可 能 植 入 蠕 蟲 等 等 。 此 保 安 漏 洞 是 由 應 用 系 統 讀 入 了 沒 有 經 過 驗 證 或 加 密 的 數 據 並 將 它 傳 給 瀏 覽 器 所 造 成 。

2. 植 入 式 保 安 漏 洞

這 一 個 保 安 漏 洞 的 潛 在 威 脅 是 攻 擊 者 可 透 過 非 預 期 的 命 令 或 改 變 系 統 數 據 藉 以 欺 騙 應 用 系 統 。 植 入 式 保 安 漏 洞 中 尤 以 在 網 上 應 用 系 統 的 SQL插 入 漏 洞 最 為 常 見 。 當 使 用 者 提 供 的 數 據 被 傳 送 到 詮 釋 器 作 為 命 令 或 查 詢 時 , 就 會 產 生 植 入 式 攻 擊 。

3. 惡 意 程 式 執 行

易 於 受 遠 程 文 件 包 含 ( Remote File Inclusion, RFI) 破 壞 的 程 式 碼 的 潛 在 威 脅 是 允 許 攻 擊 者 有 機 會 引 入 惡 意 程 式 碼 與 數 據 , 導 致 毀 滅 性 的 攻 擊 如 入 侵 整 個 伺 服 器 。 惡 意 程 式 執 行 的 攻 擊 會 影 響 到 PHP、 XML以 及 任 何 可 接 收 使 用 者 的 檔 名 或 檔 案 的 架 構 。

4. 不 安 全 的 直 接 物 件 參 照

這 個 潛 在 威 脅 是 攻 擊 者 不 需 要 透 過 授 權 就 可 以 操 作 接 達 其 他 物 件 的 參 照 。 當 開 發 者 展 示 內 部 完 成 物 件 的 參 照 時 , 例 如 檔 案 、 目 錄 、 數 據 庫 記 錄 或 鍵 值 作 為 劃 一 資 源 定 位 ( URL) 或 表 單 文 件 的 參 數 , 直 接 物 件 參 照 便 會 發 生 。

5. 跨 網 站 請 求 偽 造 ( Cross Site Request Forgery, CSRF

這 一 個 保 安 漏 洞 的 潛 在 威 脅 是 強 迫 登 入 者 的 瀏 覽 器 寄 發 預 先 驗 證 的 要 求 給 具 保 安 漏 洞 的 網 上 應 用 系 統 後 , 強 迫 使 用 者 的 瀏 覽 器 執 行 惡 意 行 為 而 使 攻 擊 者 獲 利 。 CSRF攻 擊 可 與 其 所 攻 擊 的 網 上 應 用 系 統 的 權 力 一 樣 。

6. 資 料 洩 漏 和 不 適 當 誤 差 處 理

這 個 保 安 漏 洞 的 潛 在 威 脅 是 攻 擊 者 可 以 使 用 這 個 弱 點 竊 取 敏 感 數 據 , 或 導 致 更 多 嚴 重 的 攻 擊 。 應 用 系 統 所 存 在 的 多 種 問 題 可 使 其 不 故 意 地 洩 露 有 關 內 部 組 態 的 資 訊 、 工 作 或 違 反 隱 私 權 。

7. 身 份 驗 證 功 能 和 對 話 管 理 的 缺 失

此 點 的 潛 在 威 脅 是 攻 擊 者 可 能 會 組 合 密 碼 、 密 碼 匙 或 授 權 的 權 標 以 假 裝 成 其 他 使 用 者 的 身 份 。 當 帳 戶 憑 證 與 交 談 的 權 標 沒 有 受 到 合 適 的 保 護 時 會 造 成 這 個 保 安 漏 洞 。

8. 不 安 全 的 加 密 儲 存 設 備

這 個 潛 在 的 威 脅 在 於 當 攻 擊 者 使 用 未 經 妥 善 保 護 的 數 據 來 進 行 身 份 盜 竊 與 其 他 的 犯 罪 行 為 , 例 如 偽 造 信 用 卡 。 這 個 漏 洞 是 由 於 網 上 應 用 系 統 並 沒 有 做 好 加 密 的 功 能 以 保 護 數 據 和 憑 證 。

9. 未 加 密 的 網 絡 通 訊

這 個 保 安 漏 洞 來 自 網 絡 通 訊 架 構 傳 輸 數 據 時 可 能 洩 漏 敏 感 性 資 料 。 原 因 是 當 需 要 保 護 傳 輸 敏 感 數 據 的 網 絡 通 訊 時 , 該 網 絡 的 傳 輸 並 沒 有 加 密 。

10. 無 權 限 的 劃 一 資 源 定 位 ( URL) 接 達

這 一 個 保 安 漏 洞 使 攻 擊 者 透 過 直 接 接 達 URL而 有 機 會 進 行 未 授 權 的 操 作 。 這 個 保 安 漏 洞 的 形 成 是 因 為 當 應 用 程 式 避 免 顯 示 連 結 或 URL給 未 授 權 的 使 用 者 時 , 只 保 護 某 些 部 份 敏 感 的 功 能 。

 
 
     
上一頁 back to top頁首
 

頁尾選單

網頁指南 | 聯絡本網站 | 私隱政策 | 重要告示
 
一般使用者 青少年及學生 家長及老師 資訊科技專業人員 中小型企業