第八章 Web 应用程序漏洞

在本章中，您将学习 Web 应用程序漏洞的基础知识。应用程序安全本身就是一个类别，由于我们需要一整本书来涵盖所有应用程序安全主题，因此我们将使用本章来仅涵盖最明显的主题。您将在本章中学到的很多内容将允许您在部署到生产环境之前测试 Web 应用程序。如果您对 挖掘BUG 这一热门安全职业感兴趣，那么您必须掌握这个主题。 DevSecOps 的目的是确保管道可以交付安全的 Web 应用程序。每个公司都需要对其网站进行更改，但在将更改部署到生产中之前，必须通过持续集成/持续部署（CI/CD）管道。作为安全分析师，您的角色是在将更改部署到生产环境之前提前检测任何漏洞。如果你回到过去（10年或更久），你会注意到我们曾经有Windows应用程序，但现在趋势已经改变，大多数项目都是基于网络/基于云的。在本章中，您将了解以下内容：

跨站脚本

sql 注入

命令注入

文件包含

跨站点请求伪造

文件上传绕过