AWWW-1st3.6-w13.tresc-1.0-Slajd15

Z Studia Informatyczne
Wersja z dnia 09:31, 29 wrz 2006 autorstwa Juliusz Jezierski (dyskusja | edycje)
(różn.) ← poprzednia wersja | przejdź do aktualnej wersji (różn.) | następna wersja → (różn.)
Przejdź do nawigacjiPrzejdź do wyszukiwania

Podsumowanie

Podsumowanie


Należy podkreślić trzy główne konkluzje wynikające z tego wykładu. Po pierwsze, programista powinien wykazywać ograniczone zaufanie do pól ukrytych HTML i zmiennych Cookies. Otrzymywane od nich wartości niekoniecznie muszą być tymi samymi, które wcześniej w nich zapisaliśmy. Po drugie, w każdej aplikacji WWW niezbędna i krytyczna jest walidacja wszelkich danych wejściowych pozyskiwanych od użytkownika. Brak walidacji otwiera intruzom drogę do stosowania szerokiej palety metod ataku, m.in. SQL Injection i Cross-Site Scripting. Po trzecie, należy przyjąć, że mechanizm sesji HTTP jest z definicji podatny na zagrożenia, w związku z czym w krytycznych punktach aplikacji, np. w chwili wykonywania przelewu w aplikacji bankowości internetowej, wskazane jest wtórne uwierzytelnienie użytkownika np. za pomocą hasła jednokrotnego.


<< Poprzedni slajd | Spis treści | Następny slajd >>

Źródło: „https://wazniak.mimuw.edu.pl/index.php?title=AWWW-1st3.6-w13.tresc-1.0-Slajd15&oldid=58873