IT 行业不断地进步跟新, 作为 web 安全开发来说, 现阶段是一个挑战也是一个机遇, 你了解 Web 安全吗? 你知道怎么操作吗? 小猿圈 Web 安全讲师今天来为你讲解一下 Web 安全趋势与核心防御机制.
一 ,Web 安全技术产生原因
早期: 万维网仅有 Web 站点构成, 这些站点基本上是包含静态文档的信息库. 这种信息流仅由服务器向浏览器单向传送. 多数站点并不验证用户的合法性.
如今: 已与早期的万维网已经完全不同, Web 上的大多数站点实际上是应用程序. 他们功能强大, 在服务器和浏览器之间进行双向信息传送. 他们处理的许多信息属于私密和高度敏感信息. 因此, 安全问题至关重要, Web 安全技术也应运而生.
二, Web 程序常见漏洞
1. 不完善的身份验证措施: 这类漏洞包括应用程序登陆机制中的各种缺陷, 可能会使攻击者攻破保密性不强的密码, 发动蛮力攻击或者完全避开登陆.
2. 不完善的访问控制措施: 这一问题涉及的情况包括: 应用程序无法为数据和功能提供全面保护, 攻击者可以查看其他用户保存在服务器中的敏感信息, 或者执行特权操作.
3. SQL 注入: 攻击者可通过这一漏洞提交专门设计的输入, 干扰应用程序与后端数据库的交互活动. 攻击者能够从应用程序中提取任何数据, 破坏逻辑结构, 或者在数据库服务器上执行命令.
4. 跨站点脚本: 攻击者可利用该漏洞攻击应用程序的其他用户, 访问其信息, 代表他们执行未授权操作, 或者向其发动其他攻击.
5. 信息泄露: 这一问题包括应用程序泄露敏感信息, 攻击者利用这些敏感信息通过有缺陷的错误处理或其他行为攻击应用程序.
三, 核心安全问题
如今的 Web 程序的核心安全问题为: 用户可提交任意输入. 具体为:
1. 用户可干预客户与服务器间传送的所有数据, 包括请求参数, cookie 和 HTTP 信息头.
2. 用户可按任何顺序发送请求.
3. 用户并不限于仅使用一种 Web 浏览器访问应用程序. 大量各种各样的工具可以协助攻击 Web 应用程序, 这些工具既可整合在浏览器中, 也可独立于浏览器运作. 这些工具能够提出普通浏览器无法提供的请求, 并能够迅速生成大量的请求, 查找和利用安全问题达到自己的目的.
四, 目前针对 Web 安全问题提出的核心防御机制
Web 应用程序的基本安全问题 (所有用户输入都不可信) 致使应用程序实施大量安全机制来抵御攻击. 尽管其设计细节与执行效率可能千差万别, 但几乎所有应用程序采用的安全机制在概念上都具有相似性.
Web 应用程序采用的防御机制由以下几个核心因素构成:
1. 处理用户访问应用程序的数据与功能, 防止用户获得未授权访问.
2. 处理用户对应用程序功能的输入, 防止错误输入造成不良行为.
3. 处理攻击者, 确保应用程序在成为直接攻击目标时能够正常运转, 并采取适当的防御与攻击措施挫败攻击者
4. 管理应用程序本身, 帮助管理员监控其行为, 配置其功能.
以上是小猿圈 Web 安全讲师为你分享的 Web 安全趋势与核心防御机制部分, 接下来每天会分享几篇文章为你学习充电, 学习永无止境, 想要学习的同学可以到小猿圈上面自己搜索想要学习的视频观看呦.
来源: http://www.jianshu.com/p/02d17fbab05b