另外一些更加不唐突的避免 XSRF 的方法包括使用 “Captchas” 、对重要操作重新授权、或使用独立授权密码。这些方法很有效,但也会给用户带来额外负担。从用户界面角度来看,这些方法并不常用。
密码重置功能
密码重置功能的推荐方法是:
1.这种方法需要用户输入用户名。把下面信息传递给终端用户, “ 如果用户名与系统中的现有账户吻合,一封写有下一步说明的电子邮件将发至账户所有者的注册电子邮件地址。 ”
2.这封电子邮件必须含有唯一的、带有时间限制的链接(比如, 24 小时内有效),而且只能由用户点击一次。
3.点击链接后,用户将看到几个问题。
4.成功回答问题后,用户将被允许修改其密码,同时对应用程序进行授权。
SQL 注入
防止 SQL 注入攻击需要采取 “ 深层防御 ” 策略。第一步是使用阻止 XSS 攻击中提到的白名单方法进行输入验证。
除此之外,还需要使用与动态 SQL 相反的参数查询用。参数查询可以将查询与数据分离,支持数据库引擎在数据缺失情况下决定运行查询的最佳方法。数据将由查询执行计划在运行时间内使用,保证查询执行计划不会被恶意数据修改。
结束语
我猜这个应用程序漏洞之所以得到如此关注,是因为,毕竟我们所谈论的是苹果。围绕苹果产品的炒作,比如对 iPhone 和 iPad 的炒作,令人震惊。然而事实是,这种漏洞其实并不是什么新闻,而是每天都在我们身边发生。
现在,很多应用程序并没有经过全面测试便推向市场。考虑到很多企业目前面临的市场压力,这种现象就变得一点都不奇怪。所以,尽管我认为这个漏洞并不像媒体渲染的那样严重,但是它还是让我们看到一个好的安全程序和生命周期研发操作是成功的关键。
在上面提到的最常见的 5 种 Web 应用程序漏洞中,很多都可以通过计划和安全测试来消除。你所面临的最大挑战就是说服你的老板,让他相信这些漏洞确实存在。不过我想现在你又多了一种有力武器来达到目的。
