WAF技术及应用读书笔记(一)安全概述

第一章 Web系统安全概述
    了解Web系统安全现状,理解Web网站系统结构和Web安全漏洞分析。
    
    1.1 Web系统安全现状
        现状堪忧,一大半处于危险状态中。
        
    1.2 Web网站系统结构
        1.2.1 静态网站
            一般不具备交互功能,如登录等。
        1.2.2 动态网站
            可以登录,需要与数据库建立连接,通常包含服务器端脚本程序(ASP/JSP/PHP等)。
        1.2.3 Web服务器
            IIS(简单易用功能多)/APACHE(老牌开源)/NGINX(年轻高并发)/WEBLOGIC(大型分布式JAVA应用)
            
    1.3 Web安全漏洞
        1.3.1 应用系统安全漏洞
            软件漏洞(代码缺陷)、结构漏洞(网络防护不足)、配置漏洞、管理漏洞(弱口令、撞库等)。
        1.3.2 Web漏洞类型
            OWASP 2007 TOP10(注入、失效身份认证、XSS、失效访问控制、安全配置错误、
                敏感信息泄露、攻击检测不足、CSRF、使用弱点组件、未受保护的API。
        1.3.3 Web系统安全技术
            安全漏洞检测、WAF技术为重点,以及其他的防火墙系统、IPS、IDS、安全审计系统。
        
    1.4 Web安全威胁前沿趋势
        不正当的公开个人信息,勒索病毒,挖矿木马,反人工检测技术(挂黑链等),
            物联网威胁挑战,Weblogic反序列化漏洞攻击。
    
    思考题
        1.简述Web系统的安全现状
            答:互联网的Web应用越来越广泛,所有网站中66%有漏洞,有漏洞的网站中47%是高危漏洞。
        2.根据Web网站的性质和系统架构,通常将Web网站分为静态网站和动态网站两种。
            请描述静态网站和动态网站的相同点和不同点。
            答:前者通常不带数据库,后者带数据库。前者是2层结构,后者通常是3层结构,
                比如表现层业务层数据层。    
        3.简述ASP、JSP、PHP常见的服务器端脚本程序概念。
            答:ASP是英文动态服务器页面的首字母缩写。
                JSP是英文Java服务器页面的首字母缩写。
                PHP是英文超文本预处理的简写,也可以理解成个人主页的首字母缩写。
                ASP是微软的技术,JSP是Sun公司的跨平台网页开发技术,sun现已被oracle收购。
                    PHP是开源社区维护的技术。
        4.Web应用系统安全漏洞大致包含哪几类?
            答:软件漏洞,系统漏洞,配置漏洞,管理漏洞。
        5.OWASP在2017年公布的十大安全漏洞是什么?
            答:使用带弱点的组件、跨站脚本攻击、失效的访问控制、敏感信息泄露、注入攻击、
                攻击检测能力不足、安全配置错误、未受保护的API、失效的身份认证、跨站请求伪造。
        6.常见的Web系统安全技术
            答:应用防火墙、入侵检测系统、入侵防御系统、硬件防火墙、漏洞扫描系统、
                安全审计系统、防病毒软件。较所有技术中漏洞检测和WAF技术为热点。
        7.Nginx如何防御慢连接攻击?
            答:https://www.cnblogs.com/52py/p/10931089.html
                

 

你可能感兴趣的:(《*Web安全*》)