第一章、Web应用程序安全与风险
黑客攻防技术宝典-web实战篇
本系列博客记录自己学习 黑客攻防技术-web实战篇 笔记,本人小白,学习伊始, 如有不道,请指正,万分感谢!
第一章、Web应用程序安全与风险
本章将学习
1、web应用程序的发展历程及其优点
2、web应用程序的安全(核心问题、关键因素、未来)
1.1、Web应用程序的发展历程
web应用程序是一种通过web访问的程序,用户只需电脑中安装浏览器,便可在因特网上访问服务器上搭载好的应用程序。(B/S架构,双向传输)
在此之前,万维网是由一些单一的web站点组成,这些站点上仅有一些静态文档,并且向所有网络用户开放,这使得web站点的内容毫无攻击价值。但是现如今web应用程序发展成熟后,网络中传输的数据都是成为敏感数据,比如购物站点的用户注册信息,银行服务站点的交易信息等等。所以安全问题非常重要。
web应用程序优点:
1、HTTP是核心通信协议,轻量级,无需连接。还可以通过代理与其他协议传输。
2、每个用户计算机上安装了浏览器,无需安装客户端软件即可访问交互页面。
3、web应用程序的开发技术与语言相对简单,有利于开发者开发
1.2、Web应用程序安全
几乎所有开发应用程序的人都说自己的应用程序很安全。
文章图片
几乎所有开发者认为自己开发的程序安全还有待提高!!!
核心问题:用户可提交任意输入
用户可以干预客户与服务器之间传送的数据,例如:http消息头,请求参数,cookie。也可以绕过客户端的认证。
用户可以调整参数发送的顺序,并且可以不止一次发送或者不发送。这与web程序设计者的设计思路完全不同
用户可以使用大量的工具协助攻击web应用程序,这些工具可以提交浏览器不能提交的请求以此达到自己的目的
HTTP是一种不安全传输协议,所以有了SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)。
其实TLS与SSL是一种加密方法,TLS是SSL的升级版。他们作用在传输层与应用层之间对网络连接进行加密。也就是说即使攻击者在应用层修改了请求参数,SSL也无法识别,它要做的就是一视同仁的加密防止传输过程中的攻击。
关键因素:
不成熟的安全协议
独立开发
欺骗性的简化
迅速发展的威胁形势
资源与时间的限制
技术上强其所难
未来
未来是你们的
【第一章、Web应用程序安全与风险】版权声明:本文为原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
推荐阅读
- 一个人的碎碎念
- 野营记-第五章|野营记-第五章 讨伐梦魇兽
- Shell-Bash变量与运算符
- 清明,是追思、是传承、是感恩。
- 牛人进化+|牛人进化+ 按自己的意愿过一生
- 七老修复好敏感、角质层薄、红血丝
- 华为旁!大社区、地铁新盘,佳兆业城市广场五期!
- 标签、语法规范、内联框架、超链接、CSS的编写位置、CSS语法、开发工具、块和内联、常用选择器、后代元素选择器、伪类、伪元素。
- 螃蟹和这些食物同吃,轻则腹泻、重则中毒!要小心哦~
- 八、「料理风云」