Web安全知识体系总结

一、了解web安全

我们平时开发一般注重功能技术，而忽略了安全架构，对于怎么开发出一个安全的web项目，我认为有必要做一个学习与总结。

对于web安全，主要分为两大特性：

①私密性：数据不会被非法获取和利用，一般经过授权才可以访问。  

 ②可靠性：数据不会丢失、损坏、篡改。

 

对于安全问题，一般关注三个层面：①代码层面    ②架构层面   ③运维层面

 

二、常见的安全问题：

①用户身份是否被盗用(是否真的是用户自己做的操作？)

②用户的密码是否安全(用户的密码是否泄露了呢？)

③用户的资料是否安全(用户资料是否会被盗取？如用户的手机号、身份证号、邮箱账号等资料)

④网站的数据库是否泄露

 

具体web安全攻防技术：

①跨站脚本攻击XSS

②跨站请求伪造攻击CSRF

③前端Cookies的安全性(熟悉Cookie特性与安全性)

④点击劫持(利用用户身份，在用户不知情情况下，完成某些操作的一种攻击手段)

⑤传输过程的安全性问题(前后端交互过程是否被窃听、数据是否被篡改等等)

⑥用户密码安全性问题(在系统设计时候，如果保证用户密码的安全性)

⑦SQL注入攻击(在进行数据库查询时候，如何避免SQL注入攻击，保证网站用户的数据安全)

⑧信息泄露与社会工程学(了解信息泄露的渠道及信息一般会被如何利用)

 

未完待续......