回顺穿层段修复安全技术措施_第1页
回顺穿层段修复安全技术措施_第2页
回顺穿层段修复安全技术措施_第3页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

回顺穿层段修复安全技术措施背景“回顺穿层段”是指在互联网站点应用系统中使用XXE漏洞对XML文件解析器进行攻击,进而攻击应用系统中其他应用程序甚至是web服务器,从而获取敏感信息和实现远程控制的攻击方式。该攻击方式具有针对性强、攻击成本低、攻击难度较低等特点,己有多个漏洞被披露,且已被黑客广泛应用。修复方案1.输入过滤XXE攻击的本质是利用XML带有DTD实体的特性,控制程序引用恶意文件,达到攻击目的。所以对于XML文档的DTD定义,需要进行严格的输入过滤,拒绝带有外部实体或DTD的XML文档。严格限制DTD的定义只能出现在XML文档中,不允许在外部编排DTD。同时,在XML文档中不允许使用外部引用,包括DTD和实体。2.升级XML分析器版本新版XML解析器已经修复XXE漏洞,或者在用户指定配置的时候,可以将功能通过组件方式运行于沙箱内,要实现这个功能,就需用开发人员在代码中调用相关API。尽管XML解析器版本的升级需要一定的测试和人力成本,但这也是保证应用系统安全的必要步骤。3.修改代码逻辑对于流程或代码中对XML文档进行解析的流程,尽量避免将第三方输入直接放入解析代码中,因为这样容易导致XXE攻击的出现。如果实在无法避免将外部输入合法程度进行严格验证,可以通过后台自定义某些标签或元素来实现。4.需要在每个应用程序中独立部署XML分析器这是一个建议,用来提高整个应用系统的安全性。一个完整的应用系统会有很多应用程序,可能直接地和客户端发生交互并提供服务。在此情况下,很有必要在每个独立应用程序中独立部署XML解析器,以此来提高系统的安全性。5.设置禁止解析外部XML实体在某些情况下,应用程序的XML解析器将外部定义的XML实体解析为数据。这可能会导致系统被XXE攻击所破坏。避免这种情况的方法是:禁止解析外部XML实体。这种方法有益于防范XXE攻击。6.防震散打当黑客尝试通过XXE攻击来获取系统的机密信息时,那么系统应该有足够的自卫能力来应对攻击。可以通过限制外部XML实体,对XML文档进行严格过滤,升级XML解析器,使用第三方组件等方式进行防震散打。结论回顺穿层段修复安全技术措施在应用系统开发中是非常必要的,这些技术措施能够帮助我们有效的防范XXE攻击、保护应用系统的安全性。但是需要注意的是:我们不应该将所有的依赖他人开

人人文库> 全部分类> 办公材料 > 办公文档

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论