网站宣传片,地州电视网站建设流程,建设工程有限公司资质,泉州网页建站模板读书笔记第一部分对应原书的第一章#xff0c;主要介绍了Web应用程序的发展#xff0c;功能#xff0c;安全状况。 Web应用程序的发展历程 早期的万维网仅由Web站点构成#xff0c;只是包含静态文档的信息库#xff0c;随后人们发明了Web浏览器用来检索和显示那些文档主要介绍了Web应用程序的发展功能安全状况。 Web应用程序的发展历程 早期的万维网仅由Web站点构成只是包含静态文档的信息库随后人们发明了Web浏览器用来检索和显示那些文档但这些信息只是由服务器单向传送给浏览器并不需要验证用户的合法性所有用户同等提供同样的信息。 所以当时一个Web站点的安全威胁主要来自于Web服务器系统与相关软件的诸多漏洞。攻击者入侵站点后并不能得到敏感信息至多修改一下服务器上的静态文件歪曲站点的内容或者利用服务器本身做一些“非法的事情”。 经过几十年的发展而今的万维网和早期的万维网早已不可同日而语Web上的大多数站点实际上就是应用程序它们功能强大在服务器与浏览器之间进行双向信息传送。“注册登录金融交易搜索内容创作”等等这些内容以动态的方式成为解决用户特殊需求的方案它们处理诸多信息包括私密和高度敏感的信息因此安全问题变的至关重要如果人们认为Web应用程序会将他们的信息泄露给未授权的访问者他们就会拒绝这个Web应用程序。 Web应用程序的常见功能 创建Web应用程序的目的是执行可以在线完成的任何有用功能 购物TaobaoJDAmazon社交网络BBSSNS微博Weibo博客Bloggers银行服务BOCICBCWeb搜索BaiduWeb邮件QQmail企业Mail交互信息DingdingQQiMassges 企业内部已广泛使用Web应用程序来支持关键业务功能这类应用程序可以访问各种高度敏感的数据和功能 使用HR应用程序访问工资信息绩效反馈。连接关键体系架构的管理接口Web和邮件服务器。共享文档管理工作流程项目跟踪。ERP软件通过Web浏览器访问。 为降低成本企业圈内开始推崇所谓“云计算”业务并将此业务开发交于外包企业实施和托管将ERP搬至网上。在这些所谓的“云”解决方案中业务关键功能和数据向数目更庞大的潜在攻击者开发而组织却越来越多地依赖于不受其控制的安全防御。 Web应用程序的优点 HTTP是用于访问万维网的核心通信协议它是轻量级的无须连接这提供了对通信错误的容错性。这使得用户可以在任何网络配置下进行安全通信。每个Web用户在其PC端和移动端上都默认装有浏览器而Web应用程序可以在任何浏览器上运行。现今的Web界面使用标准的导航和输入控件这保证了用户不需要通过学习就可以即时熟悉这些功能。用于开发Web应用程序的核心技术和语言工具相对简单并且有大量的开源代码和资源可供整合。 Web应用程序安全 应用程序各不相同所包含的漏洞也各不相同许多应用程序是由开发人员独立开发还有许多开发人员对自己所编写的代码可能引起的安全问题略知一二于是一些开发人员从未在开发应用时未曾考虑到的攻击方式在使用过程当中相继出现了而新技术的开发也会引入新的漏洞。 针对Web应用程序最严重的攻击是那些能够绕到后端系统的无限访问权限的攻击。 在Web应用程序的整个发展过程中直到今天甚至可预见的未来攻击者与防御者的战斗仍然在继续且没有解决的迹象。 “本站点是安全的” 大多数网站声称自己使用128位安全套接层Secure Socket Layer, SSL技术设计遵循支付卡行业PCI标准来证明自己的加密协议是无懈可击的。 但实际上大多数Web应用程序不安全不仅仅是技术应用上的还有开发人员在基础设计上的漏洞 不完善的身份验证措施不完善的访问控制措施SQL注入跨站点脚本信息泄露跨站点请求伪造 SSL在机密性与安全性上是出色的技术但它的问题在于它并不能抵御直接针对某个应用程序的服务器或客户端组件的攻击而许多成功的攻击都恰恰属于这种类型。 所以SSL并不能阻止上述任何漏洞或许多其他使应用程序受到威胁的漏洞。 核心安全问题用户可提交任意输入 Web应用程序有个根本性问题即无法控制客户端所以用户几乎可向服务器端提交任意输入。所以应用程序必须假设用户输入的都是恶意信息。 这个核心问题表现在多个方面 用户可干预客户端与服务器间传送的所有数据。用户可按任何顺序发送请求并可在应用程序要求之外的不同阶段不止一次提交或根本不提交参数。用户交不限于使用一种Web浏览器访问应用程序这导致大量各种各样的工具可以协助攻击Web应用程序。 绝大多数针对Web应用程序的攻击都涉及向服务器提交信息 更改隐藏的HTML表单字段提交的产品价格以更低价格欺诈性购买。修改在HTTP Cookie中的会话令牌支持另一个验证用户的会话。利用应用程序处理过程中的逻辑错误删除某些正常提交的数据。改变由后端数据库处理的某个输入从而注入一个恶意数据库查询以访问敏感数据。 关键问题因素 不成熟的安全意识独立开发欺骗性的简化迅速发展的威胁形势资源与时间限制技术上强其所难对功能的需求不断增强 开发人员的技术能力开发时间的限制开发资源的有限利用单一框架多程序开发使用大量增加第三方插件为实现功能对数据库或程序直接进行二次开发而忽视二开的安全措施以上这些种种行为大大增加了安全问题的出现率。 新的安全边界 Web应用程序的广泛应用使得典型组织的安全边界发生了变化以往我们关注防火墙与防御主机而现在我们应该更关注Web应用程序本身。 Web应用程序接收用户输入的方式多式多样数据传输的方式也多式多样这每一步都是潜在攻击的关口尤其是PHPJavaJS这些语言和平台的“聚合”每一个连接方式都成为了攻击关口。 于是站点的安全边界从服务器本身延伸到了第三方插件聚合接口API某一行代码跨域连接方式。 Web应用程序安全边界发生变化的另一原因在于恶意攻击者利用一个良性的易受攻击的应用程序攻击任何访问它的用户并控制用户的浏览器如果用户位于企业内部那么从用户的可信位置攻击者可向本网络改动攻击。 Web应用程序安全的未来 目前网络上的Web应用程序仍然充满了漏洞整个行业也没有统一而成熟的意识。 但随意着行业的发展各种漏洞也在被不断的修复现有的漏洞也变得更难以发现和利用。 而攻击目标也由传统的服务器端应用程序转向用户应用程序。 版权所有转载请注明出处。 转载自 《黑客攻防技术宝典Web实战篇第2版》读书笔记1了解Web应用程序 | XDY.MEDy大叔的日常 更多专业前端知识请上 【猿2048】www.mk2048.com