边界确认的必要性
来源:郑州达内IT教育培训机构时间:2021/8/27 10:57:45
边界确认的必要性
当你开始分析一些实际漏洞时,这样简单的输入确认是不够的。原因如下:
(1)基于应用程序执行的功能的广泛性和使用的技术的多样性,一个典型的应用程序需要防御大量基于输入的攻击,每个攻击都可能使用不同的专门设计的数据集,因此很难在外部边界建立单独的机制来防御所有这些攻击。
(2)许多应用的功能涉及合并一系列不同的处理过程。
(3)防止不同类型的基于输入的攻击需要对相互冲突的用户输入进行各种确认检查。例如:防止跨站点脚本攻击可能要求HTML">"编码为">,而防止命令注入攻击则要求防止输入包含&和;字符。有时候,在应用程序的外部边界几乎不可能同时阻止所有类型的攻击。
边界确认是一种更有效的模型。此时,服务器端应用程序的每个独立组件或功能单元都将输入视为来自潜在恶意源的输入处理。除客户端和服务器的外部边界外,应用程序还会确认每个信任边界的数据。该模型为前面提出的问题提供了解决方案。每个组件都可以防止它接收到的特殊类型的特殊设计输入。如果数据通过不同的组件,可以在之前转换过程中生成的任何数据值上进行确认检查。此外,由于在不同的处理阶段进行不同的确认检查,它们之间不会有冲突。
尊重原创文章,转载请注明出处与链接:http://www.peixun360.com/3849/news/401522/违者必究!
以上就是郑州达内IT教育培训机构 小编为您整理 边界确认的必要性的全部内容。
.png)
手机版
网站首页
全国服务热线:400-035-8011
