Web 应用安全发展的介绍

黑客技术的发展历史

• 1990年代初，部分人开始研究黑客技术
• 1997-1999 黑客团队涌现，进入黄金时代
• 21世纪初，黑客工具傻瓜化，门槛降低，黑客精神不再
• 希望今天的web是安全的春天

关于安全公司的甲方和乙方

• 甲方：如腾讯、阿里等需要安全服务的公司
• 乙方：提供安全服务、产品的服务型安全公司
• 圈内熟知的安全公司：绿盟、知道创宇、安天、启明星辰、安恒、天融信

Web与二进制

• Web，研究web安全
• 二进制，研究客户端安全等

Web 安全

也叫Web应用安全，互联网本身是安全的，自从有了研究安全的人之后，互联网就变得不安全了

Web应用的发展历史

• 20世纪60年代IBM的GML(通用标记语言) 以及发展到后来的SGML(标准通用标记语言)
• 20世纪90年代，HTML的出现
• 浏览器的出现与发展
• 2004年之后，XMLHttpRequest的出现将Web推向2.0时代
• 现在，Web3.0时代

Web安全的发展

• Web1.0时代，更多被关注时服务端的脚本安全问题，如SQL注入等
• Web2.0时代，2005年Samy蠕虫的爆发震惊了世界，Web安全的主战场由服务器端转换到浏览器端
• SQL注入和XSS的出现是Web发展上两个重要里程碑

Web 安全的本质是信任问题

• 由于信任，正常处理用户恶意的输入导致问题的产生
• 非预期输入(程序员开发搜索功能，返回正常的搜索结果)
• 安全是木桶原理，短的那块板决定木桶究竟能够装多少水，同样的，假设把99%的问题都处理了，那么1%的遗留就会是造成安全问题的那块短板