黑客攻防技术宝典-web实战篇

黑客攻防技术宝典-web实战篇

本系列博客记录自己学习 黑客攻防技术-web实战篇 笔记,本人小白,学习伊始, 如有不道,请指正,万分感谢!

第一章、Web应用程序安全与风险

本章将学习

  • web应用程序的发展历程及其优点
  • web应用程序的安全(核心问题、关键因素、未来)

1.1、Web应用程序的发展历程

web应用程序是一种通过web访问的程序,用户只需电脑中安装浏览器,便可在因特网上访问服务器上搭载好的应用程序。(B/S架构,双向传输)
在此之前,万维网是由一些单一的web站点组成,这些站点上仅有一些静态文档,并且向所有网络用户开放,这使得web站点的内容毫无攻击价值。但是现如今web应用程序发展成熟后,网络中传输的数据都是成为敏感数据,比如购物站点的用户注册信息,银行服务站点的交易信息等等。所以安全问题非常重要。
web应用程序优点:

  1. HTTP是核心通信协议,轻量级,无需连接。还可以通过代理与其他协议传输。
  2. 每个用户计算机上安装了浏览器,无需安装客户端软件即可访问交互页面。
  3. web应用程序的开发技术与语言相对简单,有利于开发者开发

1.2、Web应用程序安全

几乎所有开发应用程序的人都说自己的应用程序很安全。
黑客攻防技术宝典-web实战篇_第1张图片
几乎所有开发者认为自己开发的程序安全还有待提高!!!

核心问题:用户可提交任意输入

  • 用户可以干预客户与服务器之间传送的数据,例如:http消息头,请求参数,cookie。也可以绕过客户端的认证。
  • 用户可以调整参数发送的顺序,并且可以不止一次发送或者不发送。这与web程序设计者的设计思路完全不同
  • 用户可以使用大量的工具协助攻击web应用程序,这些工具可以提交浏览器不能提交的请求以此达到自己的目的

HTTP是一种不安全传输协议,所以有了SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)。

其实TLS与SSL是一种加密方法,TLS是SSL的升级版。他们作用在传输层与应用层之间对网络连接进行加密。也就是说即使攻击者在应用层修改了请求参数,SSL也无法识别,它要做的就是一视同仁的加密防止传输过程中的攻击。

关键因素:

  • 不成熟的安全协议
  • 独立开发
  • 欺骗性的简化
  • 迅速发展的威胁形势
  • 资源与时间的限制
  • 技术上强其所难

未来

未来是你们的

大家点个赞,给你们个好东西黑客攻防技术宝典-web实战篇_第2张图片

你可能感兴趣的:(黑客攻防技术宝典-web实战篇)