希賽小編為考生整理了2022年信息安全工程師考試知識(shí)點(diǎn)（三十七）：Web安全的需求分析與基本設(shè)計(jì)，希望對(duì)大家備考信息安全工程師考試會(huì)有幫助。

Web安全的需求分析與基本設(shè)計(jì)

【考法分析】

本知識(shí)點(diǎn)主要是對(duì)web安全需求分析與基本設(shè)計(jì)的考查。

【要點(diǎn)分析】

1．2013年版本的OWASP（開源Web應(yīng)用安全項(xiàng)目） TOP10包括的十大最有可能發(fā)生的應(yīng)用漏洞：① 注入攻擊：攻擊者通過(guò)在應(yīng)用程序預(yù)先定義好的查詢語(yǔ)句結(jié)尾加上額外的查詢語(yǔ)句元素，欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行非授權(quán)的任意查詢；② 失效的身份認(rèn)證和會(huì)話管理；③ 跨站腳本(XSS)：當(dāng)用戶不小心單擊這樣帶有惡意代碼的鏈接時(shí)，其用戶信息就有可能被攻擊者盜?。虎?不安全的直接對(duì)象引用；⑤ 安全配置錯(cuò)誤：許多設(shè)置的默認(rèn)值并不是安全的；⑥ 敏感信息泄露；⑦ 功能級(jí)訪問(wèn)控制缺失；⑧ 跨站請(qǐng)求偽造(CSRF)：一個(gè)跨站請(qǐng)求偽造攻擊迫使登錄用戶的瀏覽器將偽造的HTTP請(qǐng)求，包括該用戶的會(huì)話cookie和其他認(rèn)證信息，發(fā)送到一個(gè)存在漏洞的web應(yīng)用程序。這就允許了攻擊者迫使用戶瀏覽器向存在漏洞的應(yīng)用程序發(fā)送請(qǐng)求；⑨ 使用更含有已知漏洞的組件；⑩ 未驗(yàn)證的重定向和轉(zhuǎn)發(fā)。

2．可以從以下幾個(gè)方面來(lái)避免漏洞攻擊：① 常使用自帶的安全的API；② 如果沒(méi)法使用一個(gè)參數(shù)化的API，那么你應(yīng)該使用解釋器具體的escape語(yǔ)法來(lái)避免特殊字符；③ 加強(qiáng)對(duì)用戶輸入的驗(yàn)證。

3．對(duì)于失效的身份認(rèn)證和會(huì)話管理的防范，我們可以從以下方面來(lái)著手：① 一套單一的強(qiáng)大的認(rèn)證和會(huì)話管理控制系統(tǒng)；② 區(qū)分公共區(qū)域和受限區(qū)域；③ 鎖定賬戶和禁用帳戶策略；④ 保護(hù)身份驗(yàn)證Cookie；⑤ 口令、會(huì)話時(shí)限。

【備考點(diǎn)撥】

了解并理解相關(guān)知識(shí)點(diǎn)內(nèi)容。