AJ.*_*AJ. 11
这是一个惊人的发人深省的问题,我很惊讶你没有得到更好的答案.
你要为面向外部的应用程序做的一切,然后是一些.
如果我理解正确,那么你问这问题很少数开发商都在问自己.大多数公司的防御都很差,一旦攻击者进入,他就进入了.显然你想把它提升到一个水平.
那么,我们在考虑什么样的攻击?
如果我是攻击者并且我正在攻击您的Intranet应用程序,那么我必须以某种方式访问您的网络.这可能不像听起来那么困难 - 我可能会尝试使用鱼叉式网页钓鱼(将电子邮件定位到您组织中的个人,包含恶意软件附件或指向安装恶意软件的网站的链接)以在内部计算机上安装木马.
一旦我完成了这个(并控制了内部PC),我将尝试所有相同的攻击,我会尝试对任何互联网应用程序.
然而,这不是故事的结局.我有更多选择:如果我有一个用户的PC,那么我可以使用键盘记录器来收集用户名和密码,以及查看所有电子邮件中的姓名和电话号码.
有了这些,我可以直接登录您的应用程序.我甚至可以学习管理员用户名/密码.即使我没有,一个名单和电话号码列表以及对公司术语的感觉给了我一个体面的机会,让我在公司内部进行更广泛的访问.
保护Web应用程序的常见答案: