WEB應(yīng)用安全

Web互聯(lián)網(wǎng)上有超過800萬網(wǎng)民，100萬個網(wǎng)站，每天交易在網(wǎng)上交易數(shù)十億美元。國際經(jīng)濟(jì)依賴于網(wǎng)絡(luò)已經(jīng)成為一種全球性的現(xiàn)象，因為Web郵件，留言板，聊天室，拍賣，購物，新聞，銀行，以及其他基于網(wǎng)絡(luò)的軟件已經(jīng)成為數(shù)字化生活的一部分。?今天，用戶可以通過給出姓名，地址，社會安全號碼，信用卡信息，電話號碼，年薪，出生日期，有時甚至是自己喜歡的顏色或他們的幼兒園老師的名字來接收財務(wù)報表，稅務(wù)，記錄，或當(dāng)日交易的股票。?我之前有提過超過80%的網(wǎng)站對這些數(shù)據(jù)的處理存在嚴(yán)重的安全風(fēng)險？即使是最安全的系統(tǒng)也會受到最新安全威脅的困擾。

?

有收集個人信息和私人信息的組織有責(zé)任保護(hù)它不受窺探。企業(yè)榮譽(yù)和個人身份危在旦夕。Web應(yīng)用程序安全一直以來是至關(guān)重要的，我們需要考慮得更多。我們正處在身份泄漏，腳本小子的影響和信息被泄漏的煩惱中。新網(wǎng)站推出了電網(wǎng)控制，操作水壩，填寫處方，多數(shù)美國企業(yè)的工資管理，運(yùn)行企業(yè)網(wǎng)絡(luò)，管理等真正的關(guān)鍵功能。想象一下，如果這些系統(tǒng)遭受惡意代碼的威脅意味著什么。很難想象，更重要的信息安全領(lǐng)域。Web應(yīng)用程序的漏洞已經(jīng)變成最簡單，最直接，或者可以說是最容易被利用來實施***的。

?

Web開發(fā)者現(xiàn)在在創(chuàng)建跟web商業(yè)相關(guān)的應(yīng)用程序就會考慮到安全性。基礎(chǔ)性軟件的設(shè)計理念不得不改變。這種轉(zhuǎn)變之前，平均款軟件使用的用戶數(shù)量相對較少。開放者現(xiàn)在創(chuàng)建的軟件在整個互聯(lián)網(wǎng)可接入的ｗｅｂ服務(wù)器上為任何人在任何地點(diǎn)提供服務(wù)。他們的軟件交付的范圍和幅度已成倍增加，并在這樣做，安全問題也加劇。現(xiàn)在全球數(shù)百萬的用戶直接跟服務(wù)器打交道，很多人可能是惡意的。新的類型例如跨站腳本，數(shù)據(jù)庫查詢注入，和一大堆其他新的基于ｗｅｂ的***開始不得不被理解和處理。

?

?

?

?

?

?

web應(yīng)用程序安全是一個大的話題圍繞很多原則，技術(shù)和設(shè)計概念。通常，我們關(guān)注的是如圖１.1?從web?服務(wù)器開始以上的層次。這個包括應(yīng)用服務(wù)器例如：JBoss，IBM?WebSphere，BEA?WebLogic和其他數(shù)千種。然后我們進(jìn)入商業(yè)和開源web應(yīng)用程序例如PHP?Nuke，微軟OWA，和SAP。最后是開發(fā)者他們自定義的內(nèi)部程序。這是web應(yīng)用安全的整個結(jié)構(gòu)。

?

圖1-1?漏洞棧

?

?

Web應(yīng)用開發(fā)者必須理解和知道如何防御的最大威脅之一就是XSS***。盡管XSS在web應(yīng)用安全領(lǐng)域是相對小的一塊內(nèi)容，但是對互聯(lián)網(wǎng)用戶來，他可能是最危險的。Web應(yīng)用的一個簡單bug可能導(dǎo)致***者盜取暑假，接管用戶的瀏覽體驗等。

?

具有諷刺意味的是，具有諷刺意味的是，很多人不理解XSS漏洞的危險，以及他們?nèi)绾慰梢越?jīng)常被用來***受害者。這本書主要目的是通過一系列討論，例子和闡述XSS能在現(xiàn)實生活中造成的威脅和影響來教育讀者。

?

直到最近，每個人還認(rèn)為防火墻，SSL，***檢測系統(tǒng)，網(wǎng)絡(luò)掃描儀和密碼是網(wǎng)絡(luò)安全的答案。安全專家借用一個最基本的軍事理論來保護(hù)你所擁有的，就是設(shè)立一個周長。這個意思就是允許好人進(jìn)來和把壞人攔截在外面。大部分這個策略是有效的，直到web和電子商務(wù)永遠(yuǎn)改變了這個策略。電子商務(wù)要求防火墻放行80端口和443端口的流量。本質(zhì)上就意味著你不得不將你暴露在整個互聯(lián)網(wǎng)中。似乎一夜之間整個移動互聯(lián)網(wǎng)從薄壁網(wǎng)絡(luò)到全球性商業(yè)集市。周長和安全管理員發(fā)現(xiàn)他們已經(jīng)沒有任何方法來應(yīng)對web應(yīng)用程序的安全。

轉(zhuǎn)載于:https://blog.51cto.com/wzhj132/786049

《新程序員》：云原生和全面數(shù)字化實踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的【web安全】Xss Exploits and Defense翻译2的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。