【HANA系列】SAP HANA XS的JavaScript安全事项

公众号：SAP Technical

本文作者：matinal

原文出处：http://www.cnblogs.com/SAPmatinal/

原文链接：【HANA系列】SAP HANA XS使用JavaScript数据交互详解

 

前言部分

我们都知道web程序都有潜在的安全隐患问题，那么SAP HANA XS的JavaScript也是一样，使用服务器端JavaScript编写应用程序代码，也有潜在的外部攻击（和风险）。

注意事项

下面列出几点注意事项（欢迎阅读者补充说明）：

1、SSL/HTTPS

为SAP HANA应用程序所需的入站通信启用安全HTTP（HTTPS）。

2、Injection flaws

在SAP HANA扩展应用服务（SAP HANA XS）的上下文中，注入缺陷涉及SQL注入，修改URL以扩展原始请求的范围。

3、跨站脚本（XSS）

基于Web的漏洞，涉及将JavaScript注入到链接中的攻击者，目的是在目标计算机上运行注入的代码。

4、认证和会话管理不正确

身份验证或会话管理功能中的漏洞或缺陷允许攻击者模仿用户并访问未经授权的系统和数据。

5、不安全的直接对象引用

应用程序缺少目标对象的正确认证机制。
跨站点请求伪造（XSRF）利用在同一Web浏览器会话中运行的不同网站之间存在的信任边界。

6、安全配置不正确

针对安全配置进行攻击，例如认证机制和授权过程。

7、不安全的加密存储

敏感信息（如登录凭据）不能安全地存储，例如使用加密工具。

8、缺少对URL访问的限制

敏感信息（如登录凭据）被暴露。

9、传输层保护不足

可以监控网络流量，攻击者可以窃取敏感信息，如登录凭据数据。

10、重定向和转发无效

Web应用程序将用户重定向到其他页面或以类似的方式使用内部转发。

11、XML处理问题

与处理XML作为输入或生成XML作为输出相关的潜在安全问题。