В Server™ веб-приложений MATLAB ® нет специального механизма для предотвращения захвата и воспроизведения запросов HTTP.
Версия разработки MATLAB Web App Server не имеет механизма проверки подлинности или авторизации, кроме HTTPS.
Любой пользователь, имеющий доступ к сети, может запускать любое приложение, созданное с помощью этого программного обеспечения, и считывать любые данные, к которым разрешено обращаться приложению.
Если необходимы возможности аутентификации и доступа на основе ролей, необходимо приобрести продукт MATLAB Web App Server.
При установке сервера веб-приложений MATLAB на хост-машине создаются две учетные записи пользователей с низким уровнем привилегий.
Эти учетные записи с низким уровнем привилегий могут наследовать привилегии, предоставленные всем пользователям. Необходимо принять меры для ограничения привилегий, предоставляемых всем пользователям.
В то время как сервер и приложения работают под двумя разными учетными записями пользователей с низким уровнем привилегий, все приложения, размещенные на сервере, работают под одной учетной записью пользователя с низким уровнем привилегий.
Если одновременно выполняется несколько копий одного и того же приложения, они могут создавать помехи друг другу. Такая ситуация возникает, если приложение записывает данные в любой общий ресурс, например в файл или в базу данных, не являющуюся параллельной.
При развертывании нескольких приложений на сервере сервер совместно использует файлы cookie в сеансах, что может привести к перекрестным помехам между приложениями для одного пользователя, имеющего доступ к нескольким приложениям.
Такая ситуация может привести к непреднамеренным перекрестным помехам между несколькими приложениями, выполняемыми одним и тем же пользователем.
Развернутые веб-приложения потенциально уязвимы к атакам ввода данных или кода, в результате чего вредоносные или неправильно сформированные входные данные могут использоваться для попытки подорвать систему. Сервер не содержит явной защиты от атак инъекций любого типа. Некоторые функции MATLAB, в частности eval() функция, может увеличить риск инъекционных атак. Общей мерой противодействия является санация входных данных или включение в белый список. MATLAB содержит такие функции, как regexp и regexprep это может помочь в проверке ненадежных входных данных.
Ваше приложение может косвенно звонить eval(), что потенциально делает его уязвимым для атак с помощью кодовых инъекций.
Другие функции MATLAB могут демонстрировать те же уязвимости для ввода кода; любая функция, обрабатывающая кодоподобные входные данные (XML, SQL, JSON и т. п.), потенциально уязвима для ввода кода.
Любое приложение, получающее доступ к операционной системе через MATLAB system(), dos(), или unix() команды также могут быть уязвимы для ввода кода.
Примечание
Этот список определяет известные риски и не является всеобъемлющим.