日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

Web應用服務弱點：不可靠的默認值

創(chuàng)新互聯(lián)建站是創(chuàng)新、創(chuàng)意、研發(fā)型一體的綜合型網(wǎng)站建設公司，自成立以來公司不斷探索創(chuàng)新，始終堅持為客戶提供滿意周到的服務，在本地打下了良好的口碑，在過去的10年時間我們累計服務了上千家以及全國政企客戶，如成都航空箱等企業(yè)單位，完善的項目管理流程，嚴格把控項目進度與質(zhì)量監(jiān)控加上過硬的技術(shù)實力獲得客戶的一致夸獎。

在Web應用程序設計時，為了提高用戶的輸入效率，會設置比較多的默認值。但是這些默認值是把雙刃劍。即可以提高用戶輸入的速度，但是也會影響Web應用程序的安全性。舉一個簡單的例子。Web服務器的默認端口是什么?80。正確。這個信息只要稍微有點Web 知識的人都知道。

現(xiàn)在的問題是，大家都知道這個信息，那么攻擊者就可以輕而易舉的通過這個端口來進行攻擊。如可以利用工具掃描80端口是否開啟來判斷服務器是否啟用了Web服務。為此如果Web服務沒有改變這個默認的端口值，那么就將導致很多安全問題。

再如，有些管理員在設置用戶名與密碼的時候，可能給用戶的默認用戶名為空或者跟管理員帳戶相同的名字。雖然他們可能提醒用戶需要盡快的去更改密碼。但是根據(jù)筆者的經(jīng)驗，不少用戶都沒有這個安全意識。

可見，為Web應用程序設置默認值時，并不怎么可靠。為此筆者建議，對于一些關(guān)鍵的應用，如端口、管理員帳戶名、密碼等信息最好不要采用默認值。這會降低Web應用程序的安全性能。

Web應用服務弱點：關(guān)鍵信息沒有采取加密處理

筆者以前研究過一款Compiere的ERP系統(tǒng)，其有B/S與C/S兩種架構(gòu)。在登陸的時候，需要用戶輸入用戶名與密碼。在輸入這個信息的時候，密碼采用了掩碼的形式，這確實可以起到一定的保護效果。但是用戶名在后臺數(shù)據(jù)庫中存儲的，以及從網(wǎng)頁客戶端傳輸?shù)綉梅掌?、?shù)據(jù)庫服務器的過程中，采用的都是明碼的形式。

這也就是說，只要攻擊者采用一些嗅探工具、或者攻破了數(shù)據(jù)庫，那么對于這個應用來說，攻擊者就可以暢通無阻的進行一些破壞行為。相反，如果我們對于這些關(guān)鍵信息都采取了加密處理。那么即使攻擊者有了這些數(shù)據(jù)，對于他們來說，也是沒用任何用處。

無論是在數(shù)據(jù)庫服務器，還是在客戶端的Cookies中，不直接存儲沒有加密的掛念信息(如密碼或者其他私有數(shù)據(jù))，這是提高數(shù)據(jù)安全性的一個首要的原則。如果這些數(shù)據(jù)暴露了，但是所采用的加密方案將防止暴露用戶的密碼。

了解這個基本的原則之后，那么管理人員就需要關(guān)注，該選擇使用哪種加密技術(shù)。選擇的加密技術(shù)的不同，直接影響到Web服務的安全性。但是需要注意的是，加密技術(shù)也是一把雙刃劍。一般來說，在同等條件下，加密級別越高，其需要的資源開銷也就越大。簡單的說，加密的級別與系統(tǒng)的性能是成反向變動的。

Web應用服務的弱點本文就為大家先介紹兩個，更多的內(nèi)容我們還會繼續(xù)總結(jié)，與大家分享。歡迎大家閱讀：解析Web應用服務弱點 下篇

當前題目：解析Web應用服務弱點上篇
網(wǎng)站鏈接：http://www.5511xx.com/article/dposjdp.html