前面我们说到,web应用安全的基数是,做好参数检测!就像是小区防止小偷,必须把好所有进入门。然后,对进入人员进行检测!这些我们都清楚的,就是有时候在web应用中,对输入参数检测时候发现困难!因为,输入参数字符可以各种各样,长度也不相同!我们从什么维度准确标识出我所需要的格式呢? 这里我观点是,应用对参数检测可以分为2个关卡,第一个关卡可以是,保证参数输入安全。第二个关卡是保证它是业务所需要的值。一个应用,保证安全是最基础的。我们第一关检测参数,怎么样做比较好呢? 标识参数方法? 所有web传入都是字符串,我们怎么样标识字符串呢?字符串都是有字符组成的,常见是ascii码,对于中文网站,有gb2312,gbk等字符。从这里...
阅读全文
好几天没有写了,电脑一直有问题,还没有修好!本来开机故障,修理了下!现在是彻底开机不了!算了,随它去吧,该换个品牌了!先不说这些,我们进入正题,看看web应用安全基数,为什么是输入参数检查!开发web应用,工作中代码审核、漏洞修复!基本是我们对输入参数检查不够! 主要问题出现在3个方面: 1、对检查认识不够!经常忘记必要参数检测,特别对于一些页面只是传值,而没有写入到后端存储的参数,更是很容易遗漏! 2、对那些是输入的、那些是系统环境参数 有些没有明白,导致错误的放过该检查的参数! 3、检查方法不正确、往往检查过后,还存在问题! 我说说自己的一些看法吧,所有一切首先要认识到参数检查的重...
阅读全文