欢迎来到天天文库
浏览记录
ID:9223039
大小:543.01 KB
页数:34页
时间:2018-04-23
《web应用程序安全手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、Web应用程序安全手册Web应用程序安全指南由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。然而现实确是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web应用本身的安全,给黑客以可乘之机。本技术手册为你全面解析Web应用程序安全问题,提供保证Web应用程序安全的方法和技巧。Web应用程序安全问题概述相信大家都或多或少的听过关于各种Web应用安全漏洞,
2、诸如:跨站点脚本攻击(XSS),SQL注入,上传漏洞等等。在这里我并不否认各种命名与归类方式,也不评价其命名的合理性与否,我想告诉大家的是,形形色色的安全漏洞中,其实所蕴含安全问题本质往往只有几个。本部为你解读Web应用程序安全性问题的本质。解读Web应用程序安全性问题的本质如何保证Web应用程序安全TT安全技术专题之“Web应用程序安全手册”第2页共34Web应用程序是当今多数企业应用的前沿阵地。Web应用程序在一个复杂的混合性架构中可以发挥多种不同的功能。管理与这些复杂的Web应用程序相关的风险是公司的必然要求,而且运行这些Web应用程序的底层代码的安全性直接影响
3、到公司应用程序可用数据的风险态势。本部分将为你介绍保证Web应用程序安全的方法和技巧。使用BurpProxy对Web应用程序进行调试和测试Web应用程序构建后的一些必备安全措施如何保证Web应用程序安全性保护Web应用程序不受直接对象引用(DOR)Web应用安全保护技巧小心你的WEB应用程序成为数据窃贼的帮凶当心,你以为固若金汤的数据库可能已遭到了入侵。你需要重新思考一下自己公司的网站是否真得不会遭到SQL注入攻击。SQL注入是最流行也是最危险的Web应用程序漏洞利用技术,它可以攻击存储着珍贵企业信息的后端数据库,且“简约高效”。本部分将阐述攻击者如何通过这种
4、方法来利用Web应用程序的漏洞以及如何抵御这种攻击。小心你的WEB应用程序成为数据窃贼的帮凶(一)小心你的WEB应用程序成为数据窃贼的帮凶(二)小心你的WEB应用程序成为数据窃贼的帮凶(三)小心你的WEB应用程序成为数据窃贼的帮凶(四)TT安全技术专题之“Web应用程序安全手册”第3页共34解读Web应用程序安全性问题的本质相信大家都或多或少的听过关于各种Web应用安全漏洞,诸如:跨site脚本攻击(XSS),SQL注入,上传漏洞......形形色色.。在这里我并不否认各种命名与归类方式,也不评价其命名的合理性与否,我想告诉大家的是,形形色色的安全漏洞中,其实所
5、蕴含安全问题本质往往只有几个。我个人把Web应用程序安全性本质问题归结以下三个部分:1、输入/输出验证(Input/outputvalidation)2、角色验证或认证(Roleauthentication)3、所有权验证(Ownershipauthentication)说到这,读者一定想知道我这三种分类与形形色色的安全性问题有什么关系?下面我逐个给您概略解答:输入/输出验证这里的输入与输出其实都是发生在用户界面(UserInterface)这一个层面上的,比如:你某一站点上提交一份注册信息,往往会收到诸多提示:“用户名非法”,“姓名不能使用英文“......其实这就是
6、输入验证的一个实例。什么情况是输出呢?比如说你成功提交一份注册信息后,系统会返回一个确认页(RegisterredConfirmation),往往在这个页面上会显示你注册时提交的部分或全部信息,那么在这里显示的信息就是我所说的输出实例之一,输入需要做什么验证?假如你在提交时,在Address那一栏输入:,当你到达注册的确认页时,会有什么发生?如果确认页没有做输出验证处理,那很显然会在到达确认页的时候出现一个Javascript打出的提示框。其实这就是跨site脚本攻击的一个小小的实例。当然了,
7、单纯的输入/输出验证涉及的面可能够写一小本书了,努力在后续文章中给大家详解。角色验证或认证我们就拿CSDN来说吧,用户有这些角色:其一可以说是游客,就是浏览者没有登录时的角色;其二是免费的注册用户;或许将来CSDN深入发展了,业务有所更新,还会出现收费的注册用户。以上只是用户角色,那在CSDN公司内部还会有管理员角色,还有可能管理员又可以根据板块分为各种不同的角色。大家看到了吧,你天天访问的CSDN一共可能有多少角色?TT安全技术专题之“Web应用程序安全手册”第4页共34接下来的问题就是权限问题了,为什么会有角色?就是为了控制权限的。每
此文档下载收益归作者所有