大家經常會聽到看到很多很多有關安全性方面的資訊,可以說形形色色,對於在網路安全方面不太專業的同志來說,有點眼花繚亂,理不出頭緒。在這裡,我來幫大家整理一下。
以我個人多年來從事web安全方面的工作經驗及國外一些權威安全機構對web安全的層次性的理解,我們通常把它分為三個層次:
1、網路安全。如防火牆、路由器、網路結構等相關的安全問題
2、系統與服務安全。如window/linux/unix系統本身的漏洞或執行於其上的服務的安全,象apache/openssl/weblogic等本身的安全性漏洞
3、web應用程式安全。具體應用程式的安全性漏洞,比如:某**郵件系統因為存在指令碼安全性問題,導致該郵件系統的使用者在收到具有惡意**的郵件時不知不覺的,其密碼與帳號資訊被人竊取。
說到這,大家應該清楚,不管你是在任何地方看到有關計算機安全性問題的方方面面,都逃不出這三大部分,同時我也要向讀者宣告一下:在這裡,我主要是給大家陸續的介紹上述第三部分內容,即web應用程式安全性相關知識與技能。
據權威搜尋引擎公司統計資料顯示,目前70%以上的**,或多或少的存在安全隱患,這裡的安全隱患指的就是web應用程式的安全。
但是web應用程式基本上是每個組織各持一套自己的程式,一切問題都必需自己動手去解決,恰恰因為此種特性,才導致目前執行於網際網路上的web應用的安全性普遍存在。
為什麼呢?因為只有少數組織或個人有能力駕馭網路安全相關的技術與經驗,而絕大多數的即使是專業做**開發的公司也不一定有知識有能力或有意識去考慮安全性問題.
總之,web應用程式是我們接觸最多最有可能通過帶來安全隱患的載體。我將在之後的文章裡步步向大家介紹web應用程式安全性相關的知識、方法與我個人的多年從事web應用程式安全性檢測的經驗。希望我的努力就是您的需要。
來自csdn,原文出處:
常見Web站點安全性問題
例子 其中page是傳入的引數,page的值為1,在伺服器進行處理時,可能會將page的值寫入sql中,比如 select from post where page 1 這樣就完成了一次查詢操作,並返回我們想要的值 但是若是進行非法操作比如 drop table post 那麼最後sql就變為 se...
安全性問題
更改預設密碼 大量關鍵資訊 金融的 市場的 私人的 難以置信地在 inter 上失竊,不僅因為不夠嚴密的安全體系結構,還因為不負責任地留下了資料庫和系統的預設安裝密碼。如果您不希望成為上述的一員,一定要更改 rdbms windows nt 計算機和其他資源中眾所周知的使用者預設登入密碼。檢查入口處...
前端安全性問題
csrf cross site request forgery 即跨站請求偽造是一種常見的web攻擊。攻擊原理 a 使用者開啟瀏覽器,訪問受信任 a,輸入使用者名稱和密碼請求登入 a b 在使用者資訊通過驗證之後,a產生cookie資訊並返回給瀏覽器,此時使用者登入 a成功,可以正常傳送請求到 a ...