黑客攻防技术宝典-web实战篇
本系列博客记录自己学习 黑客攻防技术-web实战篇 笔记,本人小白,学习伊始, 如有不道,请指正,万分感谢!
第一章、Web应用程序安全与风险
本章将学习
- web应用程序的发展历程及其优点
- web应用程序的安全(核心问题、关键因素、未来)
1.1、Web应用程序的发展历程
web应用程序是一种通过web访问的程序,用户只需电脑中安装浏览器,便可在因特网上访问服务器上搭载好的应用程序。(B/S架构,双向传输)
在此之前,万维网是由一些单一的web站点组成,这些站点上仅有一些静态文档,并且向所有网络用户开放,这使得web站点的内容毫无攻击价值。但是现如今web应用程序发展成熟后,网络中传输的数据都是成为敏感数据,比如购物站点的用户注册信息,银行服务站点的交易信息等等。所以安全问题非常重要。
web应用程序优点:
- HTTP是核心通信协议,轻量级,无需连接。还可以通过代理与其他协议传输。
- 每个用户计算机上安装了浏览器,无需安装客户端软件即可访问交互页面。
- web应用程序的开发技术与语言相对简单,有利于开发者开发
1.2、Web应用程序安全
几乎所有开发应用程序的人都说自己的应用程序很安全。
几乎所有开发者认为自己开发的程序安全还有待提高!!!
核心问题:用户可提交任意输入
- 用户可以干预客户与服务器之间传送的数据,例如:http消息头,请求参数,cookie。也可以绕过客户端的认证。
- 用户可以调整参数发送的顺序,并且可以不止一次发送或者不发送。这与web程序设计者的设计思路完全不同
- 用户可以使用大量的工具协助攻击web应用程序,这些工具可以提交浏览器不能提交的请求以此达到自己的目的
HTTP是一种不安全传输协议,所以有了SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)。
其实TLS与SSL是一种加密方法,TLS是SSL的升级版。他们作用在传输层与应用层之间对网络连接进行加密。也就是说即使攻击者在应用层修改了请求参数,SSL也无法识别,它要做的就是一视同仁的加密防止传输过程中的攻击。
关键因素:
- 不成熟的安全协议
- 独立开发
- 欺骗性的简化
- 迅速发展的威胁形势
- 资源与时间的限制
- 技术上强其所难
未来
未来是你们的
大家点个赞,给你们个好东西
