版权声明:尊重原创 https://blog.csdn.net/Mr_XiaoZ/article/details/83177054
第一章 什么是Web安全
1.1 Web安全的发展历程
略
1.2 Web应用程序中存在的风险及预防
1.2.1 Web应用程序的安全套接层(SSL)的应用
大多数应用程序都声称其安全可靠,因为它们使用SSL(Secure Socket Layer, SSL安全套接层)
SSL使用128位安全套接层技术设计,是为网络通信提供安全和数据完整性的一种安全协议。SSL在传输层对网络连接进行加密,可以防止未授权用户查看您的人任何信息。它提供以下服务:
1. 认证用户和服务器,确保数据发送到正确的客户机和服务器
2. 加密数据以防止数据中途被窃取
3. 维护数据的完整性,确保数据在传输过程中不被改变。
实际上,大多数Web应用程序并不安全,虽然SSL已经得到了广泛应用,并且会定期进行PCI(支付卡行业标准)。
常见的Web应用程序漏洞类型有以下几种:
- 跨站点脚本
- 跨站点请求伪造
- 信息泄露
- 不完善的访问控制措施
- 不完整的身份验证措施
- SQL注入
SSL是一种出色的技术,可为用户浏览器和Web服务器间传输的数据提供机密性和完整性保护功能。它有助于防止信息泄露,并可以保证用户处理的Web服务器的安全性。但是SSL并不能抵御直接针对某个应用程序的服务器或者客户端组件的攻击,而许多成功的攻击恰恰属于这种类型。
所以无论是否使用SSL,大多数Web应用程序仍然存在安全漏洞。
1.2.2 Web应用程序安全的核心问题:
- 用户并不限于使用一种Web浏览器访问应用程序
- 用户可以干预客户端和服务器间传送的所有数据,包括请求参数,Cookies和HTTP消息头。可以轻易避开客户端执行的任何安全控件,如输入确认验证。
- 绝大多数针对Web应用程序的攻击都涉及向服务器提交输入,旨在引起一些应用程序设计者无法预料或不希望出现的事件。