黑客攻防技术宝典Web实战篇第2版—第1章Web应用程序安全与风险

1.1 Web应用程序的发展历程

早期万维网仅由站点组成,显示的是静态文档的信息库。

如今大多数站点是应用程序,服务器与浏览器之间双向信息传递。

随之而来的也有安全威胁。

1.1.1 Web应用程序的常见功能

一些常见功能,不再列举。

1.1.2 Web应用程序的优点

Http是万维网核心协议,轻量级,无需连接。

每个Web用户在计算机或者其它设备上安装了浏览器。

浏览器内容丰富且强大。

核心技术,开发语言简单。

1.2 Web应用程序安全

1.2.1 “本站点是安全的”

1、站点声称自己安全,实际上没有那么安全。虽然SSL广泛运用,定期PCI扫描。

2、2007年-2011年间测试的常见漏洞

①不完善的身份验证措施(63%)

②不完善的访问控制措施(71%)

③SQL注入(32%)

④跨站点脚本(94%)

⑤信息泄露(78%)

⑥跨站点请求伪造(92%)

3、SSL(安全套接层):为网络通信提供安全及数据完整性的一种安全协议,优势在于独立于应用层,在应用层通信之前就已经完成加密算法。采用公开秘钥技术。

4、虽然SSL保证传输数据的机密性,处理Web服务器的安全性,但不能抵御某个应用程序的服务器或客户端组件的攻击。

1.2.2 核心安全问题:用户可提交任意输入

1、主要讲述客户端用户输入的不确定性,从而导致后来的多种安全问题。

2、SSL无法阻止攻击者向服务器提交专门设计的输入,即只是保证数据传输保密,而不保证数据本身是否合法、安全。

1.2.3 关键问题因素

1、不成熟的安全意识:安全人员虽然知识渊博但核心知识不甚了解。

2、独立开发:自己员工开发,若需使用第三方,在其基础上自定义拼接,独有缺陷暴露。

3、欺骗性的简化:大量使用潜在风险的框架,会存在漏洞。

4、迅速发展的威胁形势:道高一尺魔高一丈。

5、资源与时间限制:时间资源有限,忽视不明显安全问题。

6、技术上强其所难:技术难以满足需求,但还是沿用原来技术满足新需求。

7、对功能的需求不断增强:需求功能多,潜在安全问题多(言多必失)。

1.2.4 新的安全边界

1、现在应用程序第三方小部件出现,服务器端安全边界常常会跨越组织本身的边界。

2、用户访问一个易受攻击的应用程序所面临的威胁。

1.2.5 Web应用程序安全的未来

1、Web应用程序仍然充满漏洞且动态变化。

2、攻击目标已由传统的服务器端应用程序转向用户应用程序。

3、Web2.0:基于1.0基础上由用户主导,增强交互性,由每一位用户参与创造的平台。

1.3 小结

1、万维网由静态到动态的转换。

2、用户的任意输入、用户与应用程序的交互都是不确定的,都存在潜在威胁。

你可能感兴趣的:(Web安全)