小白客带你走进黑客世界10之WEB应用安全基础

在上一篇文章中，小白简单的介绍了网络安全的发展历程。尤其是防火墙等安全设备的兴起，web应用安全逐渐成为了安全界的一块大蛋糕。那么相比较传统的计算机安全，web应用安全有哪些不同呢？

首先，大家请看下面的一张图片：

传统的计算机安全体系的建立依靠的是诸如防火墙，IPS（入侵防御系统），漏洞扫描系统、上网行为管理、杀毒软件、UTM（威胁管理）等软硬件的加固，在攻击者的恶意网络流量被计算机接收之前拦截掉。而这些都是依据已有的漏洞特征来识别的。

而现在，WEB2.0时代的繁荣，各种各样的web应用如雨后春笋。每一个web应用都是一项不同的业务，出现的漏洞再也不是向传统计算机漏洞那般已知的，更多的是业务上的漏洞，因此也无法通过传统的安全设备进行完全的防护。对于现在的互联网来说，Web应用安全是一个严峻的考验，而且对于黑客来说，攻击的难度低；而对于开发人员来说，防护难度大。

接下来，小白将通过八个点来对比传统计算机安全和WEB应用安全的差异。

通用性

传统的计算机安全是建立在操作系统本身或者使用较为广泛的通用软件上面的，有很强的一致性。而每一个WEB应用都相当与一个独立的软件，表现出独特性。

开发者

存在计算机或者通用软件漏洞的开发者都是具有高度专业技术的厂商人员，对安全有一定的意识。而相比之下WEB应用的开发者遂平参差不齐，绝大多数开发者对于安全的理解不足。

漏洞的检测

传统计算机安全的检测一般是建立在漏洞已知、确定的基础上，每一个确定的漏洞，攻击方式都大同小异，安全设备很轻易的就能确定你的攻击行为并进行必要的防护。而WEB应用安全的检测则是基于当前业务的特点对可能存在的漏洞进行检查，结果并不能确定，攻击的方式也是千奇百怪。

漏洞的挖掘

对于传统的计算机安全，攻击者如果想要主动挖掘漏洞，就需要对计算机的结构、操作系统原理，硬件底层语言等具有很深的了解，难度非常大。而针对WEB漏洞的挖掘只需要攻击者掌握一些基本的网站架构、脚本语言、数据库知识就可以考试了，难度相对较低。

漏洞的修复

传统的计算机漏洞需要由专业的厂商来提供修复的解决方案，而WEB应用漏洞WEB开发人员就可以自行修复。

攻击的途径

由于运营商和防火墙等安全设备的封锁，多数的计算机服务端口并不会在公网上面出现，针对传统的计算机的攻击途径较少。而WEB应用的业务特点导致了多数的WEB应用是在公网上开放的，容易遭到攻击者的入侵。

攻击特征

传统的计算机攻击行为具有数据级的攻击特征，一般与正常的业务行为差异明显，很容易被区分出来。而针对WEB应用的攻击行为特征不明确，尤其是业务逻辑类的漏洞，在数据层面和正常的业务行为是没有区别的。

防护难度

传统的计算机漏洞防护起来相对较容易，仅需及时升级漏洞软件版本或者更新最新的补丁包。而WEB应用漏洞的防护难度相对较大，漏洞修复后有可能再一次被攻击者绕过。

那么，如何来学好WEB应用安全呢？小白觉得作为一个合格的黑客，以下知识是不可少的：

1了解网站基础架构
2 了解HTML语言
3 了解javascript语言
4 了解数据库
5 了解常见的服务器语言（PHP、ASP、JSP）

这里建议几个学习的网站和书籍：

《白帽子讲WEB安全》、《WEB安全深度剖析》
W3C学院：http://www.w3cschool.com.cn
I春秋学院：http://www.ichunqiu.com/
补天：http://loudong.360.cn
乌云漏洞库（离线版）

Ps：喜欢的留个赞b(￣▽￣)d ~也可以关注专题：黑客师。

下一篇文章：小白客带你走进黑客世界11之常见WEB应用漏洞介绍