Потенциальные риски

  • Сервер приложений MATLAB®Web не имеет никакого определенного механизма, чтобы предотвратить получение запроса HTTP и воспроизведение.

  • Сервер не имеет никакого механизма для аутентификации или авторизации кроме HTTPS.

    Любой пользователь с доступом к сети может запустить любое приложение, созданное с этим программным обеспечением и считывать любые данные, к которым приложению открывают доступ, чтобы получить доступ.

  • И сервер и приложения, запущенные в соответствии с той же учетной записью низкого привилегированного пользователя.

    Если несколько копий того же выполнения приложения одновременно, они могут вмешаться друг в друга. Эта ситуация происходит, если приложение записывает данные к какому-либо совместно используемому ресурсу, например, файлу или непараллельной базе данных.

  • Установка MATLAB Web App Server создает учетную запись низкого привилегированного пользователя на хост-машине.

    Эта низкая привилегированная учетная запись может наследовать привилегии, данные всем пользователям. Необходимо соблюдать осторожность, чтобы ограничить привилегии, данные всем пользователям.

  • Когда развертывание нескольких приложений к cookie сервера совместно используется через сеансы, которые могут привести к перекрестным помехам между приложениями для отдельного пользователя, получающего доступ больше чем к одному приложению.

    Эта ситуация могла позволить неумышленные перекрестные помехи между несколькими приложениями, запущенными тем же пользователем.

  • Развернутые веб-приложения потенциально уязвимы для данных или нападений инжекции кода, посредством чего злонамеренные или уродливые входные параметры могут использоваться, чтобы попытаться ниспровергать систему. Сервер не содержит явную защиту ни от одного типа инжекционного нападения. Определенные функции MATLAB, особенно eval() функционируйте, может увеличить риск инжекционных нападений. Общая контрмера является входной санитизацией или входным белым списком. MATLAB содержит функции как regexp() и regexrep() это может помочь в проверке недоверяемого входа.

    • Ваше приложение может косвенно вызвать eval(), потенциально делая его уязвимым для инжекционных кодом нападений.

    • Другие функции MATLAB могут показать те же уязвимости инжекции кода; любая функция, что процессы подобный коду вход (XML, SQL, JSON, чтобы назвать некоторых) потенциально уязвимы для инжекции кода.

    • Любое приложение, которое получает доступ к операционной системе через MATLAB system()DOS, или unix() команды могут также быть уязвимы для инжекции кода.

Примечание

Это - список известных рисков и не предназначено, чтобы быть всесторонним.

Похожие темы