第5章アプリケーションのセキュリティ
5.1アプリケーションのセキュリティの概要
- クライアント/サーバモデル初期のアプリケーションシステムは、バックグラウンドを格納するためのサーバ・データベース・システムはさらに、クライアントマシンを作るために2層構造、通常のパーソナルコンピュータを使用しています
- 今、私たちは3層クライアント/サーバアーキテクチャを使用しています
インターネットユーザーのブラウザや提供されるサービスにアクセスするためのWebアプリケーションサーバーのHTTPプロトコルで。、データベースクエリ操作の要求がある場合、この要件は、サーバーとデータベース間のミドルウェアに渡される、データベースミドルウェアによってオペレーティングシステムに要求を行った、ページ要求した場合は、HTTPプロトコルで直接ユーザーに閲覧したいページに戻ります結果を取得し、Webアプリケーション・サーバーに戻り、HTMLページの形成した後、ブラウザに返さ
5.2一般的なWebアプリケーションのセキュリティの脆弱性
5.2.1 SQLインジェクションの脆弱性
- 原因:ユーザーの入力データをSQLインタプリタ行われます
- これは、次の保護措置をとることができます。
- 1.パラメータタイプ検出
- 2.パラメーター長検出
- 3.危険なフィルタパラメータ
- 一般的なリスクパラメータは、フィルタキーワードフィルタ、組み込み関数、敏感な文字が含まれます
- その主な濾過方法は以下のとおりです。
- 1)ブラックリスト
- 2)ホワイトリストをフィルタリングします
- 3)GPCフィルタ:変数のデフォルトにaddslashes(事前定義の前にバックスラッシュ文字)
- 4.パラメータ化クエリ
データベースコンパイルされたSQLコマンドの完了後に、データベース・サーバを参照し、パラメータは、唯一の実行に適用されます
5.2.2ファイルアップロードの脆弱性
1.ファイルアップロードの脆弱性の原則
- いくつかのファイルアップロード機能の実装コードは、厳密には、攻撃者がWebアクセス可能ディレクトリにファイルをアップロードすることができます任意のPHPにつながる、ファイル拡張子とファイルタイプをアップロードするユーザーに限定されるものではなく、これでできる、PHPインタプリタにそれらのファイルを転送することができますリモートサーバー上で任意のPHPスクリプトを実行します
- 特定の脆弱性の違いによると、ここでアップロードスクリプトはサフィックスにスクリプトのこれらのタイプを改ざんすることができますPHP、ASPやJSPスクリプトの正規拡大することができ
- 悪質なファイルがアップロードされた原因3があります。
- 1)ファイルのアップロードがずさんで確認
- 2)ファイル名を変更すると、ファイルのアップロードが正常に処理された後
3)サードパーティのプラグインの使用の導入
2.ファイルアップロード攻撃のケーススタディ
- アップロード画像と通常のウェブシェル
- 検出アップロードバイパスへのファイルの拡張子を変更します。
許可を得てウェブシェル
保護の3.ファイルアップロードの脆弱性の一般的な手段
開発段階(1)防衛システム
- ファイルアップロードの脆弱性、それがされたファイル名やファイルパスをアップロードするユーザーのために、クライアントとサーバー側での厳しいチェックを実行するのが最善であり、他のプロジェクト
などのフィルタリングホワイトリストの使用に最適なサーバ、これを防止バイパスモードのケースを確認し、00パーセントはまた、切り捨てシンボルを検出するために必要なHTTPのContent-Typeヘッダのサイズとアップロードファイルもチェックする必要がありますされます
運用段階(2)防衛システム
- あなたは定期的に侵入の兆候のためのシステムログ、Webサーバーのログを確認する必要があります。
- 新しいバージョンが推奨アップデートをリリースしている場合、システムは、使用アップデートサードパーティ製のプラグタイミング懸念
システム自体の維持に加えて、サーバは、合理的な構成、非必須の一般的なディレクトリであるべきで実行権限を削除する必要があり、アップロードディレクトリは、読み取り専用として構成することができます
防衛(3)安全装置
ファイルアップロード攻撃サーバにアップロード悪質なファイルやスクリプトの性質である、あなたは、セキュリティデバイスを展開することによって防衛を助けることができます
5.2.3 XSS
1.XSS定義されました
- クロスサイトスクリプティング攻撃は、入力は、ユーザIDや訪問者に何らかのアクションを使用してユーザー情報を盗むするように、他のユーザーにページのHTMLコードの影響を表示することができ、ユーザ入力フィルタリングの不足のために、Webアプリケーションを使用して、攻撃者でありますウイルスの攻撃方法
XSS攻撃は、サイト管理者は、1人のユーザに属し、被害者がユーザーで、クライアントに属しています
2.XSSは例を活用します
3.XSS分類
(1)反射型XSS
- コードデータに至る直接的またはブラウザに出力フィルタの安全性の向上を介してユーザによって入力されたデータのみが、ブラウザで実行することができ、出力データに存在します
クロスサイト・コードのこのタイプは、URLに存在するので、ハッカーは通常、暗号化のトリックや変形などで必要とされるので、攻撃を行うために、ユーザーに悪質なコードへのリンクがあるでしょう唯一の実装を成功にユーザーがクリックした後
(2)ストアドXSS
- Webアプリケーションデータは、データベースまたは他のファイルサーバ側の形式で格納され、ユーザによって入力された情報を参照します
ウェブページ表示データのクエリは、データベースからコンテンツデータを取得し、出力がページのデータ内容を表示すると、メモリタイプは強い安定XSSを有します
(3)DOMベースXSS
- XSSは、DOMノードのデータページを修正することによって形成されています
多くの場合、実際の状況に応じて、特定のJavaScript DOMコードと使用XSSのために分析する必要があります
保護の4.XSS最も一般的な手段
- 原理は比較的簡単、それがコードを実行し、ブラウザが解釈できる期間内に注入され、すべての手段によって、このコードを作成し、通常のWebページに「埋め込まれた」、通常の訪問では、ユーザによってトリガされます
- 現在、XSS攻撃に対する保護は、主に以下の方法です。
- (1)フィルタの特殊文字
符号化エンティティ(2)を使用し
5.2.4 CSRF
クロスサイトリクエストフォージェリ:攻撃者があなたの名前で、あなたのアイデンティティを盗んだいくつかの不正な操作を実行します
1.CSRF原理
- 被害者は2つのステップを完了する必要があります。
- (1)ログは、サイトAを信頼して、ローカルにクッキーを生成し、
Aの場合、(2)は、のうち危険なウェブサイトBへのアクセスではありません
害の方法の三つの異なる2.CSRF
- ローカルインタラクティブ1)フォーラム:フォーラムなどなど多くのサイトは、()、ユーザーが制限されたコンテンツの種類をカスタマイズすることができます
- 2)ウェブ攻撃者:ここで定義されたが、攻撃者のWebを参照するには、悪意のあるエージェント独自の独立したドメインを持っています
3)ネットワーク攻撃:これは、ネットワーク接続を制御することができ、悪意のあるプロキシユーザを指し
保護3.CSRFの脆弱性の一般的な手段
- このコードを追加します。攻撃者は缶の偽物は、ユーザがサーバに要求を開始し、利用者によって返されたアプリケーションを受信できないので、あなたがキーポイントでコードの対策を追加することができます。サービス要求がキーによって開始された場合、認証コードを検証するために必要な
- リファラーを確認:リファラは、通常の方法かどうかを決定するために、要求のソースを検証することによって、その要求の正当性を確認すべきです。CSRFは、モニタの動作に推奨されます。防衛のために、効果が必ずしも良いが達成されていない場合
トークンの使用:現在のユーザーの身元の信憑性を識別するために。トークンは、機能ページへの現在のユーザーの最初の訪問時に生成され、使い捨てであるべきであり、生成が完了した後にサーバからクライアントに送信されます。トークンを受け取った後、トークンは、次の営業中に検証するためにサーバによって提出されます
5.2.5リモートコード実行の脆弱性
攻撃者が任意のシステムコマンドを実行することができます
原則1.リモートでコードが実行される脆弱性
2.リモートコード実行の脆弱性を防ぎます
- ハイリスクの無効化システム機能
- 厳格なフィルタリングキーの文字
厳密に許可されるパラメータの種類を制限します
5.3悪意のあるコード
5.3.1悪意のあるコードの定義
また、マルウェアとして知られている悪意のあるコードは、不正なコンピュータ・システム・コードで動作可能です
悪意のあるコードの5.3.2特長
主に商業目的のためか、皆のためのデータを探査、荒らしの目的で、プログラム自体と、3つの機能の役割は、実行を通じて起こります
悪意のあるコードの5.3.3分類
- 主な標準分類の自立と自己複製コード
- 非悪性コードの独立のために、それ自体がホストプロセスに埋め込まれた自己複製するための手順であります
- スタンドアロンの悪質なコードの場合、自己複製プロセスのプロセスは、他のシステムに自身を広めることです
コードは、他のメディア必見スプレッドの自己複製のない独立した手段を持っていません
悪意のあるコードの5.3.4害
- データの破壊:利用手段は、ハードディスクをフォーマットするなど無意味なデータとファイルアロケーションテーブルとディレクトリ領域、削除重要なファイルや上書きファイルを上書きしてい
- ディスク・ストレージ・スペースを取ります
- システムリソースをつかめ
コンピュータの速度に影響を与えます
5.3.5悪意のあるコードの場合
5.3.6典型的な悪質なコードの原則と防衛分析
予防方法:
(1)サーバーのセキュリティ設定
- スクリプトファイルのコード監査を強化し、ページがFSO、シェルや他の操作が被写体に焦点を当てている表示されます
- フィルタリング、ユーザ認証に必要な情報を提出するような方法の適法性の長さなどの情報を入力するようにユーザーを制限するための正規表現を経由してWebサーバには、効果的にSOLインジェクション攻撃やクロスサイトスクリプティング攻撃を防ぐことができ、使用しようとするには、SQLの代わりにステッチの照会パラメータSQLインジェクションの声明
データベースの権限にアクセスするには、データベース・システムの独自のセキュリティ設定を使用します
(2)アプリケーションのセキュリティ
- Webセキュリティソフトウェア開発:プログラムは、ファイルアップロードの脆弱性を防ぐために開発されるべきです
- FTPのファイルアップロードのセキュリティ:FTPサーバがディレクトリトロイの木馬のWebプログラムに直接アップロードするFTPを使用して攻撃を防ぐために、設定する必要があります
- ストレージファイルシステムのアクセス権:良い当局は、関連するディレクトリへの書き込みのみのアクセスがスーパーを与え、Webアプリケーション・ディレクトリおよびその他のディレクトリシステムを設定する必要があり、システムの利用者に指定されたディレクトリの書き込み権限の一部
Webサービスを実行してスーパーユーザを使用しないでください。
(3)ファイルアップロードコントロール
- スクリプトファイルのコード監査を強化
別のフォルダにある重要なファイルの適用
5.4ミドルウェアのセキュリティ
5.4.1ミドルウェアの概要
- ミドルウェアは、別々のシステムソフトウェアまたはサービス・プログラムで、異なる技術間でリソースを共有するために、このソフトウェアを使用して分散アプリケーション。
- エンタープライズミドルウェアは、次のような利点があります。
- 1)具体的には、ミドルウェアシールド基礎となるオペレーティング・システムの複雑さは、アプリケーション開発者の顔が簡単と統合開発環境であり、アプリケーション開発の複雑さを軽減
- 2)保守、運用管理システムの作業負荷を低減します
3)異なる時間には、異なるオペレーティング・システム開発、アプリケーションソフトウェアに統合されています。
ミドルウェアの5.4.2分類
- クラスミドルウェア・アプリケーション・サービス
- アプリケーション統合ミドルウェアのカテゴリ
ビジネスクラスのミドルウェア・アーキテクチャ
5.4.3典型的なミドルウェアセーフティケース
脆弱性の原因は以下の通りである:
1)ウェブの間のJava Webアプリケーションサーバで書かれ、Javaは通常、シリアル化された多数のオブジェクトを送信します。
2)HTTPリクエスト・パラメータ、クッキーとパラメータ。
3)RMIプロトコルは、RMIプロトコルは広く完全ベースのシリアル化を使用します。
4)JMXをシリアライズされたオブジェクトを処理します。
5)受信し、元のJavaオブジェクトを送信するためのカスタムプロトコル。
シリアライゼーション()メソッド中6)使用のwriteObject ObjectOutputStreamのクラス、データを受信した後、典型的に非直列化データを読み取るためのreadObject ObjectInputStreamのクラス()メソッドを使用します。5.5データベースのセキュリティ
5.5.1データベースの概要
5.5.2標準のデータベース言語SQL
データベースセキュリティの5.5.3典型的な例
次のようにしている保護方法データベースの場合:
1)まず、あなたはSAの広報アカウントのような強力なパスワードが必要です。
ストアドプロシージャの処理2)拡張。
3)実行用のマスタsp_dropextendedprocは「xp_cmdshellを」不正ユーザアクセスを防ぐために、ゲストアカウントを取り除きます。
4)ログのデータベースログインを強化します。
5)管理者と定期的にすべてのアカウントをチェックしてください。世論分析の章VIII
8.1世論の概念
8.1.1ネットワーク世論と世論
8.1.2目的と世論分析の意義
1)いくつかの世論が政府の画像、世論の監視と分析に影響を与える可能性があり、イベントや世論の動向、エラー、世論の不正確正しい指導の通知を保つことができます。
2)世論の監視および分析することにより、政府、社会、態度、見解、意見や行動傾向のすべての部門のメンバーによって知らさ社会の世論を把握することができるよう、正しい判断を行うためのイベントに貢献しています。
3)企業にとって、世論の効果的な監視と分析、企業ネットワーク上のタイムリーな治療に関連する影響は、特に、負の影響は特に重要です。8.1.3インターネット世論の機能
1)発現を導く
2)の数の大規模な世論情報を有する
)3をコンテンツにランダム世論情報および対話を有する
4)の急速な伝播
5)生成バースト
6)時間に世論情報を有しますリアルタイムの継承及び
7)感情的な不合理
8)の開発に世論情報の偏りがある
ネットワークの一連のイベントの分析によると)9を、我々はいくつか通過します懸念イベントに直面している人を見つけました舞台:
- 初期の注意
- 開発
- の爆発
- 冷却期間
冷却期間
インターネット世論の8.2分析
8.2.1検索
世論分析の検索方法は、次のような特徴があります:
1)練習の自己開発の検索ツールは、使用頻度が高い、高い通常の商用検索エンジンの使い方ではありません。
2)機械を取得することは予め設定されたディレクトリが必要です。
データ検索機用の粗3検索)、人工細かい検索がデータを取得する責任があります。
開始点は、キーワード検索やリストである、コンテンツ検索は、リピータ、トラフィック、コメントの量、キーポイントの普及など、情報の性質、です。8.2.2判定方法
定量的な判断が含まれる:
1)領域の統計分析によって世論
2)時間の統計分析によって世論
3)年齢統計解析により世論
ジェンダー分析によって4)世論
5)業界によって世論統計分析
6)性質によって世論統計解析
7)によって世論密度統計分析
定性判定解析は次のとおり
:1)世論は、統計解析の信頼性判定
統計の値を判断世論の2)分析:
:統計解析定格判断3)世論
4)世論判定統計の歴史的相関分析:
5)世論トレンド予測統計的判断を分析:
6)世論の予測は判決の統計解析を回します:8.2.3典型的な世論の分析方法
1.ダブル分析
(1)分析伝播層
(2)ドライバ層分析2.セマンティック統計解析手法
3.感情方位解析方法
4.分析技術の方法に基づくWebテキストマイニング
8.3世論分析アプリケーション:インターネット世論解析システム
8.3.1基本的なアーキテクチャ
ネットワーク世論分析システムは、典型的には、以下の機能を有する:
敏感な被験体を同定する(1)ホットな話題、
素因の(2)分析
(3)追跡するために関連
(4)トレンド分析
(5)事故の分析
(6)警報システム
(7)統計報告
構成意見システム:
(1)データ収集モジュール
(2)データモジュール前処理
モジュールをクラスタ化、(3)
(4)世論解析サブシステム
、必要に応じて(5)は、システム管理者およびユーザの様々な様々なグループが割り当てられています管理を容易にするための使用権、グループのユーザが同じ権限を持っている、人々の同じグループ
の記録管理主に実装されたシステム動作の(6)8.3.2情報収集
8.3.3ネットワークリソース分析
8.3.4前処理ページ
8.3.5データマイニング
情報マイニングは、主に以下の4つの段階で構成されているWeb:
1)位置決めウェブ情報源
2)予め選択されたデータと
マイニング3)アクティブモード
検証解析4)モデル8.3.6アーカイブ管理
8.3.7世論統計
8.4世論分析アプリケーション:ネットワーク世論の監視システム
行うには世論の監視ネットワーク:
1)は、公共管理機能、効果的な制御ネットワークの状態に依存している、と積極的に音情報データベースシステムを構築。
2)ホットなニュース、イベントや文字の、場合によってはネットでの詳細な研究を行うことができるように、ネットワークの監視を実現しつつ。
3)、情報ネットワーク世論が深い掘削のためのシステムを監視し、世論の安定性の維持に関与するネットワークのすべてのタイプの情報を、フォーカスや状況の効果的な指導を効果的に制御するコンピュータ技術とネットワーク技術をフルに活用します。8.4.1ネットワークの意見発生検知システム
8.4.2ネットワーク世論の監視システムを構成します
1)情報収集モジュールは、ネットワーク世論検出システムのための生データを提供し、インターネット上のウェブサイトから情報を収集するための責任があり、システム全体の中で最も基本的な部分です。
2)テキスト抽出モジュールの主な機能は、取得したページからテキスト情報を抽出することです。
テキストクラスタリング、異なるカテゴリーに分け、テキスト、およびさらなる分析のために準備ができてテキストの各カテゴリの統計データを収集する3)テキストクラスタリングモジュール。
4)テキスト分類、統計のクラスタリング後のテキストデータのすべての種類に対する各カテゴリのテキスト分類モジュール、およびサポートがさらに評判分析のための意思決定にデータを提供します。
5)センチメント分析モジュールは、対応するイベントのサイトのユーザーの態度の同じ種類のテキスト、音声分析の間に感情的な区別の同じカテゴリを達成するために主にあります。ネットワーク世論検出システムの役割
1)タイムリーと世論の包括的なコレクション
世論の2)分析、
3)モニタリングの結果は、意思決定のための重要な基礎となります