早期万维网仅由站点组成,显示的是静态文档的信息库。
如今大多数站点是应用程序,服务器与浏览器之间双向信息传递。
随之而来的也有安全威胁。
一些常见功能,不再列举。
Http是万维网核心协议,轻量级,无需连接。
每个Web用户在计算机或者其它设备上安装了浏览器。
浏览器内容丰富且强大。
核心技术,开发语言简单。
1、站点声称自己安全,实际上没有那么安全。虽然SSL广泛运用,定期PCI扫描。
2、2007年-2011年间测试的常见漏洞
①不完善的身份验证措施(63%)
②不完善的访问控制措施(71%)
③SQL注入(32%)
④跨站点脚本(94%)
⑤信息泄露(78%)
⑥跨站点请求伪造(92%)
3、SSL(安全套接层):为网络通信提供安全及数据完整性的一种安全协议,优势在于独立于应用层,在应用层通信之前就已经完成加密算法。采用公开秘钥技术。
4、虽然SSL保证传输数据的机密性,处理Web服务器的安全性,但不能抵御某个应用程序的服务器或客户端组件的攻击。
1、主要讲述客户端用户输入的不确定性,从而导致后来的多种安全问题。
2、SSL无法阻止攻击者向服务器提交专门设计的输入,即只是保证数据传输保密,而不保证数据本身是否合法、安全。
1、不成熟的安全意识:安全人员虽然知识渊博但核心知识不甚了解。
2、独立开发:自己员工开发,若需使用第三方,在其基础上自定义拼接,独有缺陷暴露。
3、欺骗性的简化:大量使用潜在风险的框架,会存在漏洞。
4、迅速发展的威胁形势:道高一尺魔高一丈。
5、资源与时间限制:时间资源有限,忽视不明显安全问题。
6、技术上强其所难:技术难以满足需求,但还是沿用原来技术满足新需求。
7、对功能的需求不断增强:需求功能多,潜在安全问题多(言多必失)。
1、现在应用程序第三方小部件出现,服务器端安全边界常常会跨越组织本身的边界。
2、用户访问一个易受攻击的应用程序所面临的威胁。
1、Web应用程序仍然充满漏洞且动态变化。
2、攻击目标已由传统的服务器端应用程序转向用户应用程序。
3、Web2.0:基于1.0基础上由用户主导,增强交互性,由每一位用户参与创造的平台。
1、万维网由静态到动态的转换。
2、用户的任意输入、用户与应用程序的交互都是不确定的,都存在潜在威胁。
