web应用程序安全手册

《web应用程序安全手册》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、Web应用程序安全手册Web应用程序安全指南由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。然而现实确是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。本技术手册为你全面解析Web应用程序安全问题，提供保证Web应用程序安全的方法和技巧。Web应用程序安全问题概述相信大家都或多或少的听过关于各种Web应用安全漏洞，

2、诸如：跨站点脚本攻击(XSS)，SQL注入，上传漏洞等等。在这里我并不否认各种命名与归类方式，也不评价其命名的合理性与否，我想告诉大家的是，形形色色的安全漏洞中，其实所蕴含安全问题本质往往只有几个。本部为你解读Web应用程序安全性问题的本质。解读Web应用程序安全性问题的本质如何保证Web应用程序安全TT安全技术专题之“Web应用程序安全手册”第2页共34Web应用程序是当今多数企业应用的前沿阵地。Web应用程序在一个复杂的混合性架构中可以发挥多种不同的功能。管理与这些复杂的Web应用程序相关的风险是公司的必然要求，而且运行这些Web应用程序的底层代码的安全性直接影响

3、到公司应用程序可用数据的风险态势。本部分将为你介绍保证Web应用程序安全的方法和技巧。使用BurpProxy对Web应用程序进行调试和测试Web应用程序构建后的一些必备安全措施如何保证Web应用程序安全性保护Web应用程序不受直接对象引用（DOR）Web应用安全保护技巧小心你的WEB应用程序成为数据窃贼的帮凶当心，你以为固若金汤的数据库可能已遭到了入侵。你需要重新思考一下自己公司的网站是否真得不会遭到SQL注入攻击。SQL注入是最流行也是最危险的Web应用程序漏洞利用技术，它可以攻击存储着珍贵企业信息的后端数据库，且“简约高效”。本部分将阐述攻击者如何通过这种

4、方法来利用Web应用程序的漏洞以及如何抵御这种攻击。小心你的WEB应用程序成为数据窃贼的帮凶（一）小心你的WEB应用程序成为数据窃贼的帮凶（二）小心你的WEB应用程序成为数据窃贼的帮凶（三）小心你的WEB应用程序成为数据窃贼的帮凶（四）TT安全技术专题之“Web应用程序安全手册”第3页共34解读Web应用程序安全性问题的本质相信大家都或多或少的听过关于各种Web应用安全漏洞，诸如:跨site脚本攻击(XSS)，SQL注入，上传漏洞......形形色色.。在这里我并不否认各种命名与归类方式，也不评价其命名的合理性与否，我想告诉大家的是，形形色色的安全漏洞中，其实所

5、蕴含安全问题本质往往只有几个。我个人把Web应用程序安全性本质问题归结以下三个部分：１、输入／输出验证(Input/outputvalidation)２、角色验证或认证(Roleauthentication)３、所有权验证(Ownershipauthentication)说到这，读者一定想知道我这三种分类与形形色色的安全性问题有什么关系？下面我逐个给您概略解答：输入／输出验证这里的输入与输出其实都是发生在用户界面（UserInterface）这一个层面上的，比如：你某一站点上提交一份注册信息，往往会收到诸多提示：“用户名非法”，“姓名不能使用英文“......其实这就是

6、输入验证的一个实例。什么情况是输出呢？比如说你成功提交一份注册信息后，系统会返回一个确认页（RegisterredConfirmation），往往在这个页面上会显示你注册时提交的部分或全部信息，那么在这里显示的信息就是我所说的输出实例之一，输入需要做什么验证？假如你在提交时，在Address那一栏输入：,当你到达注册的确认页时，会有什么发生？如果确认页没有做输出验证处理，那很显然会在到达确认页的时候出现一个Javascript打出的提示框。其实这就是跨site脚本攻击的一个小小的实例。当然了，

7、单纯的输入／输出验证涉及的面可能够写一小本书了，努力在后续文章中给大家详解。角色验证或认证我们就拿CSDN来说吧，用户有这些角色：其一可以说是游客，就是浏览者没有登录时的角色；其二是免费的注册用户；或许将来CSDN深入发展了，业务有所更新，还会出现收费的注册用户。以上只是用户角色，那在CSDN公司内部还会有管理员角色，还有可能管理员又可以根据板块分为各种不同的角色。大家看到了吧，你天天访问的CSDN一共可能有多少角色？TT安全技术专题之“Web应用程序安全手册”第4页共34接下来的问题就是权限问题了，为什么会有角色？就是为了控制权限的。每