信息安全三要素:保密性、完整性、可用性
(1)保密性(Confidentiality)
即保证信息为授权者享用而不泄漏给未经授权者。
(2)完整性(Integrity)
即保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等。
(3)可用性(Availability)
即保证信息和信息系统随时为授权者提供服务,保证合法用户对信息和资源的使用不会被不合理的拒绝。
(4)可控性(Controllability)
即出于国家和机构的利益和社会管理的需要,保证管理者能够对信息实施必要的控制管理,以对抗社会犯罪和外敌侵犯。
(5)不可否认性(Non-Repudiation)
即人们要为自己的信息行为负责,提供保证社会依法管理需要的公证、仲裁信息证据。
漏洞:硬件、软件、协议等信息系统组件在生命周期的各个阶段(设计、实现、运维等过程)中的安全缺陷、这些缺陷会对系统的安全(保密性、完整性、可用性)产生影响。如:对数据篡改、控制等等。
渗透测试
黑盒测试:在授权的情况下,模拟黑客的攻击方法和思维方式,来评估计算机网络系统可能存在的安全风险。
白盒测试:相对黑盒测试,白盒测试基本是从内部发起,主要是代码审计
SQL注入
由于程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL注入
SQL注入修复方法
绑定变量使用预编译语句(参数化查询),SQL server、MySQL、Oracle 均支持参数化查询。
特殊情况可以使用数据类型检查的方式,整形则强制转换,字符型则过滤非法字符,例如 ,) " ' = 空格 等(PHP可使用mysql_real_escape_string)
XSS
恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响(如钓鱼、盗取cookie)。这类攻击通常包含了HTML以及客户端脚本语言。
硬件、软件、协议等信息系统组件在生命周期的各个阶段(设计、实现、运维等过程)中的安全缺陷,这些缺陷会对系统的安全(机密性、完整性、可用性)产生影响。如,对数据进行篡改,控制等。
硬件、软件、协议等信息系统组件在生命周期的各个阶段(设计、实现、运维等过程)中的安全缺陷,这些缺陷会对系统的安全(机密性、完整性、可用性)产生影响。如,对数据进行篡改,控制等。
硬件、软件、协议等信息系统组件在生命周期的各个阶段(设计、实现、运维等过程)中的安全缺陷,这些缺陷会对系统的安全(机密性、完整性、可用性)产生影响。如,对数据进行篡改,控制等。