TT 安全技术专题之“Web 应用程序安全手册” 第 4 页 共 34
解读 Web 应用程序安全性问题的本质
相信大家都或多或少的听过关于各种 Web 应用安全漏洞,诸如:跨 site 脚本攻击(XSS),
SQL 注入,上传漏洞......形形色色.。在这里我并不否认各种命名与归类方式,也不评价其
命名的合理性与否,我想告诉大家的是,形形色色的安全漏洞中,其实所蕴含安全问题本质往
往只有几个。 我个人把 Web 应用程序安全性本质问题归结以下三个部分:
1、输入/输出验证(Input/output validation)
2、角色验证或认证(Role authentication )
3、所有权验证(Ownership authentication)
说到这,读者一定想知道我这三种分类与形形色色的安全性问题有什么关系?下面我逐个
给您概略解答:
输入/输出验证
这里的输入与输出其实都是发生在用户界面(User Interface)这一个层面上的,比如:
你某一站点上提交一份注册信息,往往会收到诸多提示:“用户名非法”,“姓名不能使用英
文“......其实这就是输入验证的一个实例。什么情况是输出呢? 比如说你成功提交一份注
册信息后,系统会返回一个确认页(Registerred Confirmation),往往在这个页面上会显示
你注册时提交的部分或全部信息,那么在这里显示的信息就是我所说的输出实例之一,输入需
要做什么验证?假如你在提交时,在 Address 那一栏输入:
<script>alert("iwebsecurity");</script>, 当你到达注册的确认页时,会有什么发
生?如果确认页没有做输出验证处理,那很显然会在到达确认页的时候出现一个 Javascript
打出的提示框。其实这就是跨 site 脚本攻击的一个小小的实例。当然了,单纯的输入/输出
验证涉及的面可能够写一小本书了,努力在后续文章中给大家详解。
角色验证或认证
我们就拿 CSDN 来说吧,用户有这些角色:其一可以说是游客,就是浏览者没有登录时的
角色;其二是免费的注册用户;或许将来 CSDN 深入发展了,业务有所更新,还会出现收费的
注册用户。以上只是用户角色,那在 CSDN 公司内部还会有管理员角色,还有可能管理员又可
以根据板块分为各种不同的角色。大家看到了吧,你天天访问的 CSDN 一共可能有多少角色?
