黑客攻防---從入門到精通(1)
阿新 • • 發佈:2018-11-08
第一章 什麼是Web安全
1.1 Web安全的發展歷程
略
1.2 Web應用程式中存在的風險及預防
1.2.1 Web應用程式的安全套接層(SSL)的應用
大多數應用程式都聲稱其安全可靠,因為它們使用SSL(Secure Socket Layer, SSL安全套接層)
SSL使用128位安全套接層技術設計,是為網路通訊提供安全和資料完整性的一種安全協議。SSL在傳輸層對網路連線進行加密,可以防止未授權使用者檢視您的人任何資訊。它提供以下服務:
1. 認證使用者和伺服器,確保資料傳送到正確的客戶機和伺服器
2. 加密資料以防止資料中途被竊取
3. 維護資料的完整性,確保資料在傳輸過程中不被改變。
實際上,大多數Web應用程式並不安全,雖然SSL已經得到了廣泛應用,並且會定期進行PCI(支付卡行業標準)。
常見的Web應用程式漏洞型別有以下幾種:
- 跨站點指令碼
- 跨站點請求偽造
- 資訊洩露
- 不完善的訪問控制措施
- 不完整的身份驗證措施
- SQL注入
SSL是一種出色的技術,可為使用者瀏覽器和Web伺服器間傳輸的資料提供機密性和完整性保護功能。它有助於防止資訊洩露,並可以保證使用者處理的Web伺服器的安全性。但是SSL並不能抵禦直接針對某個應用程式的伺服器或者客戶端元件的攻擊,而許多成功的攻擊恰恰屬於這種型別。
所以無論是否使用SSL,大多數Web應用程式仍然存在安全漏洞。
1.2.2 Web應用程式安全的核心問題:
- 使用者並不限於使用一種Web瀏覽器訪問應用程式
- 使用者可以干預客戶端和伺服器間傳送的所有資料,包括請求引數,Cookies和HTTP訊息頭。可以輕易避開客戶端執行的任何安全控制元件,如輸入確認驗證。
- 絕大多數針對Web應用程式的攻擊都涉及向伺服器提交輸入,旨在引起一些應用程式設計者無法預料或不希望出現的事件。
1.3小結