黑客攻防技術(shù)寶典-web實(shí)戰(zhàn)篇
本系列博客記錄自己學(xué)習(xí) 黑客攻防技術(shù)-web實(shí)戰(zhàn)篇 筆記,本人小白抵屿,學(xué)習(xí)伊始庆锦, 如有不道,請(qǐng)指正晌该,萬(wàn)分感謝肥荔!
第一章、Web應(yīng)用程序安全與風(fēng)險(xiǎn)
本章將學(xué)習(xí)
1朝群、web應(yīng)用程序的發(fā)展歷程及其優(yōu)點(diǎn)
2燕耿、web應(yīng)用程序的安全(核心問(wèn)題、關(guān)鍵因素姜胖、未來(lái))
1.1誉帅、Web應(yīng)用程序的發(fā)展歷程
web應(yīng)用程序是一種通過(guò)web訪問(wèn)的程序,用戶(hù)只需電腦中安裝瀏覽器,便可在因特網(wǎng)上訪問(wèn)服務(wù)器上搭載好的應(yīng)用程序蚜锨。(B/S架構(gòu)档插,雙向傳輸)
在此之前,萬(wàn)維網(wǎng)是由一些單一的web站點(diǎn)組成亚再,這些站點(diǎn)上僅有一些靜態(tài)文檔郭膛,并且向所有網(wǎng)絡(luò)用戶(hù)開(kāi)放,這使得web站點(diǎn)的內(nèi)容毫無(wú)攻擊價(jià)值氛悬。但是現(xiàn)如今web應(yīng)用程序發(fā)展成熟后则剃,網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)都是成為敏感數(shù)據(jù),比如購(gòu)物站點(diǎn)的用戶(hù)注冊(cè)信息如捅,銀行服務(wù)站點(diǎn)的交易信息等等棍现。所以安全問(wèn)題非常重要。
web應(yīng)用程序優(yōu)點(diǎn):
1镜遣、HTTP是核心通信協(xié)議己肮,輕量級(jí),無(wú)需連接悲关。還可以通過(guò)代理與其他協(xié)議傳輸谎僻。
2、每個(gè)用戶(hù)計(jì)算機(jī)上安裝了瀏覽器坚洽,無(wú)需安裝客戶(hù)端軟件即可訪問(wèn)交互頁(yè)面戈稿。
3、web應(yīng)用程序的開(kāi)發(fā)技術(shù)與語(yǔ)言相對(duì)簡(jiǎn)單讶舰,有利于開(kāi)發(fā)者開(kāi)發(fā)
1.2鞍盗、Web應(yīng)用程序安全
幾乎所有開(kāi)發(fā)應(yīng)用程序的人都說(shuō)自己的應(yīng)用程序很安全。
幾乎所有開(kāi)發(fā)者認(rèn)為自己開(kāi)發(fā)的程序安全還有待提高L纭0慵住!
核心問(wèn)題:用戶(hù)可提交任意輸入
用戶(hù)可以干預(yù)客戶(hù)與服務(wù)器之間傳送的數(shù)據(jù)鹅颊,例如:http消息頭敷存,請(qǐng)求參數(shù),cookie堪伍。也可以繞過(guò)客戶(hù)端的認(rèn)證锚烦。
用戶(hù)可以調(diào)整參數(shù)發(fā)送的順序,并且可以不止一次發(fā)送或者不發(fā)送帝雇。這與web程序設(shè)計(jì)者的設(shè)計(jì)思路完全不同
用戶(hù)可以使用大量的工具協(xié)助攻擊web應(yīng)用程序涮俄,這些工具可以提交瀏覽器不能提交的請(qǐng)求以此達(dá)到自己的目的
HTTP是一種不安全傳輸協(xié)議,所以有了SSL(Secure Sockets Layer 安全套接層)尸闸,及其繼任者傳輸層安全(Transport Layer Security彻亲,TLS)孕锄。
其實(shí)TLS與SSL是一種加密方法,TLS是SSL的升級(jí)版苞尝。他們作用在傳輸層與應(yīng)用層之間對(duì)網(wǎng)絡(luò)連接進(jìn)行加密畸肆。也就是說(shuō)即使攻擊者在應(yīng)用層修改了請(qǐng)求參數(shù),SSL也無(wú)法識(shí)別宙址,它要做的就是一視同仁的加密防止傳輸過(guò)程中的攻擊轴脐。
關(guān)鍵因素:
不成熟的安全協(xié)議
獨(dú)立開(kāi)發(fā)
欺騙性的簡(jiǎn)化
迅速發(fā)展的威脅形勢(shì)
資源與時(shí)間的限制
技術(shù)上強(qiáng)其所難
未來(lái)
未來(lái)是你們的
版權(quán)聲明:本文為原創(chuàng)文章,遵循?CC 4.0 BY-SA?版權(quán)協(xié)議曼氛,轉(zhuǎn)載請(qǐng)附上原文出處鏈接和本聲明豁辉。
