潜在的风险
的MATLAB®Web应用程序服务器™没有特定的机制来防止HTTP请求捕获和回放。
的开发版本MATLAB Web应用程序服务器没有HTTPS以外的身份验证或授权的机制。
任何用户对网络的访问可以运行任何应用程序使用这个软件创建和读取应用程序授权访问任何数据。
如果你想要身份验证和基于角色的访问功能,您需要购买MATLABWeb应用程序服务器产品。
的安装MATLAB Web应用程序服务器在主机上创建两个低权限的用户帐户。
这些低权限的账户可能继承特权给所有用户。应该小心限制特权给所有用户。
在服务器和应用程序在两个不同的低权限的用户帐户下运行,所有应用程序托管的服务器下运行相同的低权限的用户帐户。
如果同一应用程序的多个副本同时运行,他们可能会相互干扰。这种情况下如果应用程序写入数据到任何共享资源,例如,一个文件或一个非并发的数据库。
当多个应用程序部署到服务器,服务器股跨会话cookie,这会导致应用程序之间的串扰对单个用户访问多个应用程序。
这种情况可以允许无意相声在多个应用程序之间由相同的用户。
可能容易受到部署web应用程序数据或代码注入攻击,恶意或畸形的输入可以用来试图破坏这个系统。服务器不包含明确的保护类型的注入攻击。某些MATLAB特性,特别是
eval ()
功能,可以增加注入攻击的风险。一个常见的对策是输入卫生处理或输入白名单。MATLAB中包含的函数如正则表达式
和regexprep
能够协助验证不可信的输入。您的应用程序可能间接调用
eval ()
,有可能使它容易代码注入攻击。其他MATLAB函数可能表现出相同的代码注入漏洞;任何函数处理代码输入(XML、SQL、JSON、等等)可能是脆弱的代码注入。
通过MATLAB的任何应用程序访问操作系统
系统()
,dos ()
,或unix ()
命令也可以容易的代码注入。
请注意
这个列表识别已知的风险并不是要全面。