八百标兵奔北坡

本页面只读。您可以查看源文件，但不能更改它。如果您觉得这是系统错误，请联系管理员。
## 1.1 Web应用程序的发展历程

<blockquote>互联网早期阶段,万维网仅由Web站点构成,它们基本上只有静态文档,而且只由Web服务器微明浏览器单方面传送.网页内容对互联网的所有用户可见.</blockquote>

<wrap hi>万维网是1989年由英国科学家蒂姆·伯纳斯·李发明的,1990年他编写了第一个网页浏览器.所以这里说的互联网早期阶段,应该就是指上世纪90年代了.那时候,中国还只有少数人发现了互联网这一重大机遇,马云在1995年与好友何一兵共同创办了中国黄页网站,是全球第一家中文商业信息站点,为企业提供服务.可以想见,那时候的网页内容还是很贫乏的.</wrap>

所以非法访问一般是利用Web服务器中软件本身的漏洞实现的,因为信息本身就是公开的,攻击者能做的就是修改网页内容,或是占用服务器资源来传播非法软件等.(挂马?)

我最早使用的操作系统应该是Win98,那时候标配的浏览器IE还是v5.5版本,学校的计算机课里上网冲浪也只知道几个门户网站,比如网易,新浪,搜狐等.

随着互联网技术的进步,Web服务器上跑的是各种应用程序,即WebApp,这里服务器与客户端(浏览器)之间是双向信息传递,它通常需要用户登录,有时候还需要把线下交易转为线上,这样就不得不处理一些非常私密和敏感的信息.因为Web安全至关重要 .

既然如此,那么开发各种各样WebApp,根据所用的组件不同,框架不同,所存在的漏洞也各不相同.攻击手法也多种多样.而为了降低成本,加快开发进度,许多企业把一部分开发任务外包给第三方来完成,这样应用程序的安全可控性就变得越来越差.

因为Web程序的快速发展,许多本地软件也开始添加了线上版本,平时使用的主力生产工具由电脑,慢慢转为平板电脑和手机,移动端更加受用户喜爱.我们日常使用的各种电商,社交网络,手机银行,搜索引擎,博客(虽然很少有人在写了),Web邮件,微博(只有新浪微博还健在),Twitter(现在已经被马斯克收购并改名为X)等都越来越依赖Web程序(原来的PC端软件更新还很慢,现在APP更新就很频繁了).

### Web程序的优点

* HTTPS连接一切
* 不需要在用户端维护客户端软件,只通过浏览器部署即可
* 通过插件来增强用户体验
* Web程序开发(主要是js+css)相对简单

### Web程序的安全问题

虽然网站声明使用SSL通信,遵循PCI DSS标准,但仍然有一些其它问题.比如:

* 不完善的身份验证措施(弱密码,没有MFA等)
* 不完善的访问控制措施(没有按职责分离,最小限原则管理访问权限)
* SQL注入
* 跨站点脚本
* 信息泄露 
* 跨站点请求伪造