b.理论储备:08.书籍阅读:黑客攻防技术宝典web实战篇:c1-web应用程序安全与风险

差别

这里会显示出您选择的修订版和当前版本之间的差别。

到此差别页面的链接

--- b.理论储备:08.书籍阅读:黑客攻防技术宝典web实战篇:c1-web应用程序安全与风险 [2024/02/13 02:19] – jackie67
+++ b.理论储备:08.书籍阅读:黑客攻防技术宝典web实战篇:c1-web应用程序安全与风险 [2024/03/18 13:54] (当前版本) – jackie67
@@ 行 2: / 行 2: @@
 <blockquote>互联网早期阶段,万维网仅由Web站点构成,它们基本上只有静态文档,而且只由Web服务器微明浏览器单方面传送.网页内容对互联网的所有用户可见.</blockquote>
+<wrap hi>万维网是1989年由英国科学家蒂姆·伯纳斯·李发明的,1990年他编写了第一个网页浏览器.所以这里说的互联网早期阶段,应该就是指上世纪90年代了.那时候,中国还只有少数人发现了互联网这一重大机遇,马云在1995年与好友何一兵共同创办了中国黄页网站,是全球第一家中文商业信息站点,为企业提供服务.可以想见,那时候的网页内容还是很贫乏的.</wrap>
+所以非法访问一般是利用Web服务器中软件本身的漏洞实现的,因为信息本身就是公开的,攻击者能做的就是修改网页内容,或是占用服务器资源来传播非法软件等.(挂马?)
+我最早使用的操作系统应该是Win98,那时候标配的浏览器IE还是v5.5版本,学校的计算机课里上网冲浪也只知道几个门户网站,比如网易,新浪,搜狐等.
+随着互联网技术的进步,Web服务器上跑的是各种应用程序,即WebApp,这里服务器与客户端(浏览器)之间是双向信息传递,它通常需要用户登录,有时候还需要把线下交易转为线上,这样就不得不处理一些非常私密和敏感的信息.因为Web安全至关重要 .
+既然如此,那么开发各种各样WebApp,根据所用的组件不同,框架不同,所存在的漏洞也各不相同.攻击手法也多种多样.而为了降低成本,加快开发进度,许多企业把一部分开发任务外包给第三方来完成,这样应用程序的安全可控性就变得越来越差.
+因为Web程序的快速发展,许多本地软件也开始添加了线上版本,平时使用的主力生产工具由电脑,慢慢转为平板电脑和手机,移动端更加受用户喜爱.我们日常使用的各种电商,社交网络,手机银行,搜索引擎,博客(虽然很少有人在写了),Web邮件,微博(只有新浪微博还健在),Twitter(现在已经被马斯克收购并改名为X)等都越来越依赖Web程序(原来的PC端软件更新还很慢,现在APP更新就很频繁了).
+### Web程序的优点
+* HTTPS连接一切
+* 不需要在用户端维护客户端软件,只通过浏览器部署即可
+* 通过插件来增强用户体验
+* Web程序开发(主要是js+css)相对简单
+### Web程序的安全问题
+虽然网站声明使用SSL通信,遵循PCI DSS标准,但仍然有一些其它问题.比如:
+* 不完善的身份验证措施(弱密码,没有MFA等)
+* 不完善的访问控制措施(没有按职责分离,最小限原则管理访问权限)
+* SQL注入
+* 跨站点脚本
+* 信息泄露
+* 跨站点请求伪造

b.理论储备/08.书籍阅读/黑客攻防技术宝典web实战篇/c1-web应用程序安全与风险.1707790746.txt.gz · 最后更改: 2024/02/13 02:19 由 jackie67