日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
應(yīng)用程序邏輯攻擊的危害

開發(fā)一個安全的和有效的網(wǎng)站應(yīng)用程序可能是一項艱巨的任務(wù)。此外,無孔不入的黑客使得這樣的設(shè)計任務(wù)變得更加困難。在本次我們的“咨詢專家”板塊提供的小技巧中,網(wǎng)絡(luò)應(yīng)用安全專家Michael Cobb講解了黑客們?nèi)绾卫贸绦蜻壿媮磉_(dá)成攻擊,同時也提出了一些阻止攻擊行為的建議。

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于網(wǎng)站建設(shè)、網(wǎng)站制作、定安網(wǎng)絡(luò)推廣、重慶小程序開發(fā)、定安網(wǎng)絡(luò)營銷、定安企業(yè)策劃、定安品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營等,從售前售中售后,我們都將竭誠為您服務(wù),您的肯定,是我們最大的嘉獎;創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供定安建站搭建服務(wù),24小時服務(wù)熱線:028-86922220,官方網(wǎng)址:www.cdcxhl.com

什么是應(yīng)用程序邏輯?

應(yīng)用程序邏輯描述了由應(yīng)用程序開發(fā)者定義的必要步驟,以此來完成特定的任務(wù)。應(yīng)用程序邏輯的一個例子是客戶在網(wǎng)上購物時,將商品添加到一個在線購物籃后,該客戶還需提供姓名,地址和付款等細(xì)節(jié)才能完成整個交易的流程。應(yīng)用程序邏輯(也稱為商業(yè)邏輯)并非指一般功能的Web服務(wù)器,而是指應(yīng)用程序某項具體操作的功能,如產(chǎn)品折扣,郵費(fèi)定價規(guī)則等。應(yīng)用程序邏輯攻擊一般利用應(yīng)用程序的本身特點(diǎn)來回避或誤用預(yù)期的行為來實現(xiàn)攻擊。一般來說,這類攻擊是針對一個網(wǎng)站的,但他們也可以針對網(wǎng)站的訪客和訪客的私人數(shù)據(jù)。

應(yīng)用程序邏輯攻擊是如何實現(xiàn)的

不同于常見的應(yīng)用程序攻擊,例如SQL注入,每個應(yīng)用程序邏輯攻擊通常是獨(dú)一無二的,因為它利用了應(yīng)用程序特有的函數(shù)或特定功能。這使得自動漏洞測試工具更加難以檢測這種攻擊,因為它們是基于邏輯缺陷而非實際的代碼缺陷的。應(yīng)用程序邏輯攻擊之所以成功,往往是因為開發(fā)者沒有將有效的過程驗證和控制機(jī)制引入到應(yīng)用程序中。這種缺乏流程控制的機(jī)制使得攻擊者可以執(zhí)行不正確或不合乎規(guī)程的操作。例如,網(wǎng)絡(luò)購物中若購買了商品A則可享受其相應(yīng)的折扣,然而如果應(yīng)用程序不能確保在付款時商品A仍在購物車中,則可能導(dǎo)致不正確的折扣產(chǎn)生,如惡意用戶可以通過添加商品A獲得折扣,然后刪除A,從而達(dá)到以A的折扣率購買產(chǎn)品B的目的。

應(yīng)用程序邏輯攻擊的類型

當(dāng)攻擊者反復(fù)利用應(yīng)用程序的功能時便可能產(chǎn)生不同類型的應(yīng)用程序邏輯攻擊,如能夠新建數(shù)千個新帳戶或在討論區(qū)張貼重復(fù)的郵件。這種類型的攻擊濫用了應(yīng)用程序的功能但基本沒有或很少修改原來的應(yīng)用程序。2005年8月,一個現(xiàn)實生活中的此類攻擊發(fā)生在天堂撲克(Paradise Poker)在線賭 bo網(wǎng)站?;跁r間延遲,一些賭徒掌握如何預(yù)測莊家手中的底牌。這個安全漏洞使得他們合法地贏取了大量錢財!有些應(yīng)用程序邏輯攻擊能夠?qū)е戮芙^服務(wù)或惡意放大傳播。惡意放大傳播指攻擊者將惡意的跨頁面的腳本代碼注入到如網(wǎng)頁聊天室之類的應(yīng)用中,利用這類應(yīng)用的傳播特性使這些惡意代碼傳播開來。

應(yīng)用程序邏輯攻擊:防范措施

防止應(yīng)用程序邏輯攻擊的關(guān)鍵是要執(zhí)行完整性檢查及確認(rèn),并在應(yīng)用程序開發(fā)周期的起始就完善設(shè)計需求。Web應(yīng)用程序開發(fā)人員還需在應(yīng)用程序開發(fā)伊始便建立起安全和流程控制。不幸的是,許多應(yīng)用程序是在設(shè)計開發(fā)完成后才開始測試和安全檢測的工作。直到越來越多的開發(fā)者開始意識到規(guī)范編碼和代碼測試的重要性之前,應(yīng)用程序邏輯攻擊仍將是攻擊者有效的攻擊手段。


本文題目:應(yīng)用程序邏輯攻擊的危害
網(wǎng)頁鏈接:http://www.5511xx.com/article/dhghdoj.html