【web安全】Xss Exploits and Defense翻译2

WEB应用安全

Web互联网上有超过800万网民，100万个网站，每天交易在网上交易数十亿美元。国际经济依赖于网络已经成为一种全球性的现象，因为Web邮件，留言板，聊天室，拍卖，购物，新闻，银行，以及其他基于网络的软件已经成为数字化生活的一部分。 今天，用户可以通过给出姓名，地址，社会安全号码，信用卡信息，电话号码，年薪，出生日期，有时甚至是自己喜欢的颜色或他们的幼儿园老师的名字来接收财务报表，税务，记录，或当日交易的股票。 我之前有提过超过80%的网站对这些数据的处理存在严重的安全风险？即使是最安全的系统也会受到最新安全威胁的困扰。

 

有收集个人信息和私人信息的组织有责任保护它不受窥探。企业荣誉和个人身份危在旦夕。Web应用程序安全一直以来是至关重要的，我们需要考虑得更多。我们正处在身份泄漏，脚本小子的影响和信息被泄漏的烦恼中。新网站推出了电网控制，操作水坝，填写处方，多数美国企业的工资管理，运行企业网络，管理等真正的关键功能。想象一下，如果这些系统遭受恶意代码的威胁意味着什么。很难想象，更重要的信息安全领域。Web应用程序的漏洞已经变成最简单，最直接，或者可以说是最容易被利用来实施攻击的。

 

Web开发者现在在创建跟web商业相关的应用程序就会考虑到安全性。基础性软件的设计理念不得不改变。这种转变之前，平均款软件使用的用户数量相对较少。开放者现在创建的软件在整个互联网可接入的ｗｅｂ服务器上为任何人在任何地点提供服务。他们的软件交付的范围和幅度已成倍增加，并在这样做，安全问题也加剧。现在全球数百万的用户直接跟服务器打交道，很多人可能是恶意的。新的类型例如跨站脚本，数据库查询注入，和一大堆其他新的基于ｗｅｂ的攻击开始不得不被理解和处理。

 

 

 

 

 

 

web应用程序安全是一个大的话题围绕很多原则，技术和设计概念。通常，我们关注的是如图１.1 从web 服务器开始以上的层次。这个包括应用服务器例如：JBoss，IBM WebSphere，BEA WebLogic和其他数千种。然后我们进入商业和开源web应用程序例如PHP Nuke，微软OWA，和SAP。最后是开发者他们自定义的内部程序。这是web应用安全的整个结构。

 

图1-1 漏洞栈

 

 

Web应用开发者必须理解和知道如何防御的最大威胁之一就是XSS攻击。尽管XSS在web应用安全领域是相对小的一块内容，但是对互联网用户来，他可能是最危险的。Web应用的一个简单bug可能导致攻击者盗取暑假，接管用户的浏览体验等。

 

具有讽刺意味的是，具有讽刺意味的是，很多人不理解XSS漏洞的危险，以及他们如何可以经常被用来攻击受害者。这本书主要目的是通过一系列讨论，例子和阐述XSS能在现实生活中造成的威胁和影响来教育读者。

 

直到最近，每个人还认为防火墙，SSL，入侵检测系统，网络扫描仪和密码是网络安全的答案。安全专家借用一个最基本的军事理论来保护你所拥有的，就是设立一个周长。这个意思就是允许好人进来和把坏人拦截在外面。大部分这个策略是有效的，直到web和电子商务永远改变了这个策略。电子商务要求防火墙放行80端口和443端口的流量。本质上就意味着你不得不将你暴露在整个互联网中。似乎一夜之间整个移动互联网从薄壁网络到全球性商业集市。周长和安全管理员发现他们已经没有任何方法来应对web应用程序的安全。