没有合适的资源?快使用搜索试试~ 我知道了~
TT 安全技术专题之“Web 应用程序安全手册”
需积分: 5 0 下载量 80 浏览量
2023-05-08
17:16:33
上传
评论
收藏 490KB PDF 举报
温馨提示
试读
34页
《TT 安全技术专题之“Web 应用程序安全手册”.pdf》是一份关于Web应用程序安全的详细手册,旨在帮助读者了解Web应用程序的安全问题,并提供相应的解决方案。该手册适用于所有对Web应用程序安全感兴趣的人群,包括Web开发人员、安全工程师、网络管理员等。 本手册主要涵盖了Web应用程序安全的基础知识、常见漏洞及攻击方式、安全防范措施等内容。通过阅读本手册,读者可以了解到Web应用程序安全的重要性,掌握常见的安全漏洞及攻击方式,学习如何进行安全测试和防范措施等。 本手册适用于各种场景,包括Web应用程序开发、安全测试、安全防范等。对于Web开发人员来说,本手册可以帮助他们了解常见的安全漏洞及攻击方式,从而在开发过程中避免这些漏洞的出现;对于安全工程师和网络管理员来说,本手册可以帮助他们了解Web应用程序的安全问题,并提供相应的解决方案,从而提高Web应用程序的安全性。 需要注意的是,本手册并不是一份完整的Web应用程序安全指南,读者在使用本手册时需要结合实际情况进行分析和判断。同时,本手册中提供的安全防范措施并不能保证100%的安全性,
资源推荐
资源详情
资源评论
Web 应用程序安全手册
TT 安全技术专题之“Web 应用程序安全手册” 第 2 页 共 34
Web 应用程序安全指南
由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对
Web 应用的攻击上。根据 Gartner 的最新调查,信息安全攻击有 75%都是发生在 Web 应用而非
网络层面上。同时,数据也显示,三分之二的 Web 站点都相当脆弱,易受攻击。然而现实确
是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证 Web 应
用本身的安全,给黑客以可乘之机。
本技术手册为你全面解析 Web 应用程序安全问题,提供保证 Web 应用程序安全的方法和技
巧。
Web 应用程序安全问题概述
相信大家都或多或少的听过关于各种 Web 应用安全漏洞,诸如:跨站点脚本攻击(XSS),
SQL 注入,上传漏洞等等。在这里我并不否认各种命名与归类方式,也不评价其命名的合理性
与否,我想告诉大家的是,形形色色的安全漏洞中,其实所蕴含安全问题本质往往只有几个。
本部为你解读 Web 应用程序安全性问题的本质。
解读 Web 应用程序安全性问题的本质
如何保证 Web 应用程序安全
TT 安全技术专题之“Web 应用程序安全手册” 第 3 页 共 34
Web 应用程序是当今多数企业应用的前沿阵地。Web 应用程序在一个复杂的混合性架构中
可以发挥多种不同的功能。管理与这些复杂的 Web 应用程序相关的风险是公司的必然要求,而
且运行这些 Web 应用程序的底层代码的安全性直接影响到公司应用程序可用数据的风险态势。
本部分将为你介绍保证 Web 应用程序安全的方法和技巧。
使用 Burp Proxy 对 Web 应用程序进行调试和测试
Web 应用程序构建后的一些必备安全措施
如何保证 Web 应用程序安全性
保护 Web 应用程序不受直接对象引用(DOR)
Web 应用安全保护技巧
小心你的 WEB 应用程序成为数据窃贼的帮凶
当心,你以为固若金汤的数据库可能已遭到了入侵。你需要重新思考一下自己公司的网站
是否真得不会遭到 SQL 注入攻击。SQL 注入是最流行也是最危险的 Web 应用程序漏洞利用技
术,它可以攻击存储着珍贵企业信息的后端数据库,且“简约高效”。
本部分将阐述攻击者如何通过这种方法来利用 Web 应用程序的漏洞以及如何抵御这种攻
击。
小心你的 WEB 应用程序成为数据窃贼的帮凶(一)
小心你的 WEB 应用程序成为数据窃贼的帮凶(二)
小心你的 WEB 应用程序成为数据窃贼的帮凶(三)
小心你的 WEB 应用程序成为数据窃贼的帮凶(四)
TT 安全技术专题之“Web 应用程序安全手册” 第 4 页 共 34
解读 Web 应用程序安全性问题的本质
相信大家都或多或少的听过关于各种 Web 应用安全漏洞,诸如:跨 site 脚本攻击(XSS),
SQL 注入,上传漏洞......形形色色.。在这里我并不否认各种命名与归类方式,也不评价其
命名的合理性与否,我想告诉大家的是,形形色色的安全漏洞中,其实所蕴含安全问题本质往
往只有几个。 我个人把 Web 应用程序安全性本质问题归结以下三个部分:
1、输入/输出验证(Input/output validation)
2、角色验证或认证(Role authentication )
3、所有权验证(Ownership authentication)
说到这,读者一定想知道我这三种分类与形形色色的安全性问题有什么关系?下面我逐个
给您概略解答:
输入/输出验证
这里的输入与输出其实都是发生在用户界面(User Interface)这一个层面上的,比如:
你某一站点上提交一份注册信息,往往会收到诸多提示:“用户名非法”,“姓名不能使用英
文“......其实这就是输入验证的一个实例。什么情况是输出呢? 比如说你成功提交一份注
册信息后,系统会返回一个确认页(Registerred Confirmation),往往在这个页面上会显示
你注册时提交的部分或全部信息,那么在这里显示的信息就是我所说的输出实例之一,输入需
要做什么验证?假如你在提交时,在 Address 那一栏输入:
<script>alert("iwebsecurity");</script>, 当你到达注册的确认页时,会有什么发
生?如果确认页没有做输出验证处理,那很显然会在到达确认页的时候出现一个 Javascript
打出的提示框。其实这就是跨 site 脚本攻击的一个小小的实例。当然了,单纯的输入/输出
验证涉及的面可能够写一小本书了,努力在后续文章中给大家详解。
角色验证或认证
我们就拿 CSDN 来说吧,用户有这些角色:其一可以说是游客,就是浏览者没有登录时的
角色;其二是免费的注册用户;或许将来 CSDN 深入发展了,业务有所更新,还会出现收费的
注册用户。以上只是用户角色,那在 CSDN 公司内部还会有管理员角色,还有可能管理员又可
以根据板块分为各种不同的角色。大家看到了吧,你天天访问的 CSDN 一共可能有多少角色?
TT 安全技术专题之“Web 应用程序安全手册” 第 5 页 共 34
接下来的问题就是权限问题了,为什么会有角色?就是为了控制权限的。每种角色都有自己特
定的与公共的权限,这些权限的逻辑关系是相当复杂的,如果一个 Web 应用在角色上没有一个
详细的合理的设计,将会给开发人员带来无限痛苦和麻烦。那现在我要问几个问题:你能保证
每种角色只能做其份内的事儿?你是如何去保证的呢?方法可靠吗?有没有漏洞?......这就
是我要说的角色验证或认证。为什么我会说验证或认证呢?你可以这么理解,角色性存在于两
个阶段,其一进入阶段,比如你登录的那一瞬间,你进入了一个特定的角色;另一个阶段就是
维持阶段,你如何确保你登录后总是以登录时的身份在操作呢?那前者可以说是:认证,后者
就是验证了。(有点罗嗦不?)
给一个角色认证/验证方面的虚拟案例,比如:一个在线电影服务提供商,会免费给您开
一个试用角色,如果这试用角色验证不当,可能会导致用户权限提升而成为一个合法的收费用
户,而这个收费用户你往往却收不到他的任何费用。
所有权验证
这个问题的存在也是基于角色的,只不过它所关心的是同级别的角色之间的权限问题。就
拿 CSDN 来说吧,我是 CSDN 的一个免费用户,你也是。现在的问题是:我可以替你操作吗,我
可以替你发表文章吗?我能修改你的个性设置吗?如果不能,CSDN 是如何实现的?虽然你和
我都是普通用户,但是你有你的隐私我也有我的隐私,如何保证严格的所有权验证就显得尤为
关键了。比较简单吧,这就是我所说的所有权验证。
我可以很自信的告诉你,只要是 Web 应用安全性问题,它逃不出在这三大部分,可能你还
无法把形形色色的 Web 应用安全性问题与这三个部分对应并合理的解释清楚,但是确实只有这
么简单的几个部分。如果您有疑问,可以以评论的方式提问。我可能会回复,也可能会以另一
篇文章的形式出现,以供大家参考。
(作者:iwebsecurity 来源:TechTarget 中国)
剩余33页未读,继续阅读
资源评论
wusp1994
- 粉丝: 2520
- 资源: 881
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功