Потенциальные риски

  • MATLAB® Web App Server™ не имеет никакого определенного механизма, чтобы предотвратить получение запроса HTTP и воспроизведение.

  • Версия разработки MATLAB Web App Server не имеет никакого механизма для аутентификации или авторизации кроме HTTPS.

    Любой пользователь с доступом к сети может запустить любое приложение, созданное с этим программным обеспечением и считывать любые данные, к которым приложению открывают доступ, чтобы получить доступ.

    Если вы хотите аутентификацию и основанные на роли возможности доступа, необходимо купить продукт MATLAB Web App Server.

  • Установка MATLAB Web App Server создает две учетных записи низкого привилегированного пользователя на хост-машине.

    Эти низкие привилегированные учетные записи могут наследовать привилегии, данные всем пользователям. Необходимо соблюдать осторожность, чтобы ограничить привилегии, данные всем пользователям.

  • В то время как сервер и приложения, запущенные в соответствии с двумя различными учетными записями низкого привилегированного пользователя, все приложения размещаются сервером, запущенным в соответствии с той же учетной записью низкого привилегированного пользователя.

    Если несколько копий того же выполнения приложения одновременно, они могут вмешаться друг в друга. Эта ситуация происходит, если приложение записывает данные к какому-либо совместно используемому ресурсу, например, файлу или непараллельной базе данных.

  • При развертывании нескольких приложений в сервер сервер совместно использует cookie через сеансы, которые могут привести к перекрестным помехам между приложениями для отдельного пользователя, получающего доступ больше чем к одному приложению.

    Эта ситуация могла позволить неумышленные перекрестные помехи между несколькими приложениями, запущенными тем же пользователем.

  • Развернутые веб-приложения потенциально уязвимы для данных или нападений инжекции кода, посредством чего злонамеренные или уродливые входные параметры могут использоваться, чтобы попытаться ниспровергать систему. Сервер не содержит явную защиту ни от одного типа инжекционного нападения. Определенные функции MATLAB, особенно eval() функционируйте, может увеличить риск инжекционных нападений. Общая контрмера является входной санитизацией или входным белым списком. MATLAB содержит функции как regexp и regexprep это может помочь в проверке недоверяемого входа.

    • Ваше приложение может косвенно вызвать eval(), потенциально делая его уязвимым для инжекционных кодом нападений.

    • Другие функции MATLAB могут показать те же уязвимости инжекции кода; любая функция, что процессы подобный коду вход (XML, SQL, JSON, чтобы назвать некоторых) потенциально уязвимы для инжекции кода.

    • Любое приложение, которое получает доступ к операционной системе через MATLAB system()DOS, или unix() команды могут также быть уязвимы для инжекции кода.

Примечание

Этот список идентифицирует известные риски и не предназначен, чтобы быть всесторонним.

Похожие темы