正文部分
我們都知道web程式都有潛在的安全隐患問題,那麼SAP HANA XS的JavaScript也是一樣,使用伺服器端JavaScript編寫應用程式代碼,也有潛在的外部攻擊(和風險)。
下面列出幾點注意事項(歡迎閱讀者補充說明):
1、SSL/HTTPS
為SAP HANA應用程式所需的入站通信啟用安全HTTP(HTTPS)。
2、Injection flaws
在SAP HANA擴充應用服務(SAP HANA XS)的上下文中,注入缺陷涉及SQL注入,修改URL以擴充原始請求的範圍。
3、跨站腳本(XSS)
基于Web的漏洞,涉及将JavaScript注入到連結中的攻擊者,目的是在目标計算機上運作注入的代碼。
4、認證和會話管理不正确
身份驗證或會話管理功能中的漏洞或缺陷允許攻擊者模仿使用者并通路未經授權的系統和資料。
5、不安全的直接對象引用
應用程式缺少目标對象的正确認證機制。
跨站點請求僞造(XSRF)利用在同一Web浏覽器會話中運作的不同網站之間存在的信任邊界。
6、安全配置不正确
針對安全配置進行攻擊,例如認證機制和授權過程。
7、不安全的加密存儲
敏感資訊(如登入憑據)不能安全地存儲,例如使用加密工具。
8、缺少對URL通路的限制
敏感資訊(如登入憑據)被暴露。
9、傳輸層保護不足
可以監控網絡流量,攻擊者可以竊取敏感資訊,如登入憑據資料。
10、重定向和轉發無效
Web應用程式将使用者重定向到其他頁面或以類似的方式使用内部轉發。
11、XML處理問題
與處理XML作為輸入或生成XML作為輸出相關的潛在安全問題。