使用修订版OWASP Top Ten保证Web应用程序安全——第八部分

无法限制URL访问

这个脆弱性在这个系列的第五部分——直接对象参考不安全——进行了简单地说明。存在这种弱点的Web应用程序/站点允许攻击者通过“猜测”地址找到URL。这是“通过审查确保安全”不足以保护的一个例子。

和直接对象参考不安全脆弱性一样，开发者和网站管理员必须小心锁定存储有不公开页面和文件的文件夹或目录。在微软Windows环境中，首先可以建立NTFS和共享许可。OWASP Top 10提供的其它建议包括：

• 执行渗透测试：总是先确定潜在的攻击向量并测试应用程序的脆弱性。你可以在通过提出正确的问题开始管理风险一文中找到实施这个建议的最佳方法。
• 密切注意包括/库文件：这些文件应尽可能保存在Web根目录之外，并且只能用安全的应用程序方法进行访问。
• 阻止访问所有应用程序从不处理的文件类型。

总结

过去几周以来，我已经详细探讨了2007 OWASP Top 10。但是，我仅仅触及了一些表面的问题。OWASP网站(OWASP.org)中提供了大量有用的信息和实例。我建议每位开发者和网站管理员抽时间浏览一下这些资料。在该做什么、不该做什么两个方面提高意识，这将改善我们通过互联网安全传送信息的能力。

责任编辑：德东

查看本文国际来源