Потенциальные риски

  • MATLAB® Web App Server™ не имеет специального механизма для предотвращения захвата и воспроизведения HTTP- запроса.

  • Версия разработки MATLAB Web App Server не имеет механизма для аутентификации или авторизации кроме HTTPS.

    Любой пользователь, имеющий доступ к сети, может запустить любое приложение, созданное с помощью этого ПО, и считать любые данные, к которым приложение имеет право доступа.

    Если вам нужны возможности аутентификации и доступа на основе ролей, необходимо приобрести продукт MATLAB Web App Server.

  • Установка MATLAB Web App Server создает две низкопривилегированные учетные записи пользователей на хост-компьютере.

    Эти низкопривилегированные учетные записи могут наследовать привилегии, предоставляемые всем пользователям. Следует принять меры для ограничения привилегий, предоставляемых всем пользователям.

  • В то время как сервер и приложения работают под двумя различными низкопривилегированными учетными записями пользователей, все приложения, размещенные на сервере, выполняются под одной и той же низкопривилегированной учетной записью пользователя.

    Если несколько копий одного и того же приложения выполняются одновременно, они могут мешать друг другу. Такая ситуация происходит, если приложение записывает данные в любой общий ресурс, например, файл или несогласованную базу данных.

  • При развертывании нескольких приложений на сервере сервер разделяет файлы cookie между сеансами, что может привести к перекрестным помехам между приложениями для одного пользователя, получающего доступ к нескольким приложениям.

    Такая ситуация может позволить непреднамеренную перекрестную помеху между несколькими приложениями, выполняемыми одним и тем же пользователем.

  • Развернутые веб-приложения потенциально уязвимы к атакам инъекций данных или кода, в результате чего вредоносные или неправильные входы могут использоваться, чтобы попытаться подорвать систему. Сервер не содержит явной защиты от любого типа инъекционной атаки. Некоторые функции MATLAB, особенно eval() функция, может увеличить риск инъекционных атак. Общей контрмерой является санитарная обработка входных данных или белый список входов. MATLAB содержит такие функции, как regexp и regexprep это может помочь в проверке ненадежных входов.

    • Ваше приложение может косвенно вызвать eval(), потенциально делая его уязвимым для атак инъекций кода.

    • Другие функции MATLAB могут демонстрировать те же уязвимости инъекций кода; любая функция, которая обрабатывает кодоподобный вход (XML, SQL, JSON, чтобы назвать несколько), потенциально уязвима для инъекции кода.

    • Любое приложение, которое обращается к операционной системе через MATLAB system(), dos(), или unix() команды также могут быть уязвимы для инъекции кода.

Примечание

Этот список определяет известные риски и не должен быть всеобъемлющим.

Похожие темы