b.理论储备:08.书籍阅读:黑客攻防技术宝典web实战篇:c1-web应用程序安全与风险

差别

这里会显示出您选择的修订版和当前版本之间的差别。

到此差别页面的链接

--- b.理论储备:08.书籍阅读:黑客攻防技术宝典web实战篇:c1-web应用程序安全与风险 [2024/02/13 02:36] – jackie67
+++ b.理论储备:08.书籍阅读:黑客攻防技术宝典web实战篇:c1-web应用程序安全与风险 [2024/03/18 13:54] (当前版本) – jackie67
@@ 行 7: / 行 7: @@
 所以非法访问一般是利用Web服务器中软件本身的漏洞实现的,因为信息本身就是公开的,攻击者能做的就是修改网页内容,或是占用服务器资源来传播非法软件等.(挂马?)
-我最早使用的操作系统应该是Win98,那时候标配的浏览器IE还是v5.5版本,学校的计算机课里上网冲浪也只知道几个门户网站,网易,新浪,搜狐等少数几个.
+我最早使用的操作系统应该是Win98,那时候标配的浏览器IE还是v5.5版本,学校的计算机课里上网冲浪也只知道几个门户网站,比如网易,新浪,搜狐等.
+随着互联网技术的进步,Web服务器上跑的是各种应用程序,即WebApp,这里服务器与客户端(浏览器)之间是双向信息传递,它通常需要用户登录,有时候还需要把线下交易转为线上,这样就不得不处理一些非常私密和敏感的信息.因为Web安全至关重要 .
+既然如此,那么开发各种各样WebApp,根据所用的组件不同,框架不同,所存在的漏洞也各不相同.攻击手法也多种多样.而为了降低成本,加快开发进度,许多企业把一部分开发任务外包给第三方来完成,这样应用程序的安全可控性就变得越来越差.
+因为Web程序的快速发展,许多本地软件也开始添加了线上版本,平时使用的主力生产工具由电脑,慢慢转为平板电脑和手机,移动端更加受用户喜爱.我们日常使用的各种电商,社交网络,手机银行,搜索引擎,博客(虽然很少有人在写了),Web邮件,微博(只有新浪微博还健在),Twitter(现在已经被马斯克收购并改名为X)等都越来越依赖Web程序(原来的PC端软件更新还很慢,现在APP更新就很频繁了).
+### Web程序的优点
+* HTTPS连接一切
+* 不需要在用户端维护客户端软件,只通过浏览器部署即可
+* 通过插件来增强用户体验
+* Web程序开发(主要是js+css)相对简单
+### Web程序的安全问题
+虽然网站声明使用SSL通信,遵循PCI DSS标准,但仍然有一些其它问题.比如:
+* 不完善的身份验证措施(弱密码,没有MFA等)
+* 不完善的访问控制措施(没有按职责分离,最小限原则管理访问权限)
+* SQL注入
+* 跨站点脚本
+* 信息泄露
+* 跨站点请求伪造

b.理论储备/08.书籍阅读/黑客攻防技术宝典web实战篇/c1-web应用程序安全与风险.1707791793.txt.gz · 最后更改: 2024/02/13 02:36 由 jackie67