公眾號:SAP Technical 本文作者:matinal 原文出處:http://www.cnblogs.com/SAPmatinal/ 原文鏈接:【HANA系列】SAP HANA XS使用JavaScript數據交互詳解 前言部分 我們都知道web程式都有潛在的安全隱患問題,那麼SAP HAN ...
公眾號:SAP Technical 本文作者:matinal 原文出處:http://www.cnblogs.com/SAPmatinal/ 原文鏈接:【HANA系列】SAP HANA XS使用JavaScript數據交互詳解
前言部分
我們都知道web程式都有潛在的安全隱患問題,那麼SAP HANA XS的JavaScript也是一樣,使用伺服器端JavaScript編寫應用程式代碼,也有潛在的外部攻擊(和風險)。
註意事項
下麵列出幾點註意事項(歡迎閱讀者補充說明):
1、SSL/HTTPS
為SAP HANA應用程式所需的入站通信啟用安全HTTP(HTTPS)。
2、Injection flaws
在SAP HANA擴展應用服務(SAP HANA XS)的上下文中,註入缺陷涉及SQL註入,修改URL以擴展原始請求的範圍。
3、跨站腳本(XSS)
基於Web的漏洞,涉及將JavaScript註入到鏈接中的攻擊者,目的是在目標電腦上運行註入的代碼。
4、認證和會話管理不正確
身份驗證或會話管理功能中的漏洞或缺陷允許攻擊者模仿用戶並訪問未經授權的系統和數據。
5、不安全的直接對象引用
應用程式缺少目標對象的正確認證機制。
跨站點請求偽造(XSRF)利用在同一Web瀏覽器會話中運行的不同網站之間存在的信任邊界。
6、安全配置不正確
針對安全配置進行攻擊,例如認證機制和授權過程。
7、不安全的加密存儲
敏感信息(如登錄憑據)不能安全地存儲,例如使用加密工具。
8、缺少對URL訪問的限制
敏感信息(如登錄憑據)被暴露。
9、傳輸層保護不足
可以監控網路流量,攻擊者可以竊取敏感信息,如登錄憑據數據。
10、重定向和轉發無效
Web應用程式將用戶重定向到其他頁面或以類似的方式使用內部轉發。
11、XML處理問題
與處理XML作為輸入或生成XML作為輸出相關的潛在安全問題。