`

Web应用程序安全与风险

阅读更多

Web应用程序安全无疑是当务之急,也是值得关注的话题。对相关各方而言,这一问题都至关重要。这里的相关各方包括因特网业务收入日益增长的公司、向Web应用程序托付敏感信息的用户,以及通过窃取支付信息或入侵银行账户偷窃巨额资金的犯罪分子。可靠的信誉也非常重要,没人愿意与不安全的Web站点进行交易,也没有组织愿意披露有关其安全方面的漏洞或违规行为的详细情况。因此,获取当前Web应用程序安全状况的可靠信息不可小视。

本章简要介绍Web应用程序的发展历程及它们提供的诸多优点,并且列举我们亲身体验过的在目前Web应用程序中存在的漏洞,这些漏洞表明绝大多数应用程序还远远不够安全。本章还将描述Web应用程序面临的核心安全问题(即用户可提交任意输入的问题),以及造成安全问题的各种因素。最后讨论Web应用程序安全方面的最新发展趋势,并预测其未来的发展方向。

 Web应用程序的发展历程

在因特网发展的早期阶段,万维网(World WideWeb)仅由Web站点构成,这些站点基本上是包含静态文档的信息库。随后人们发明了Web浏览器,通过它来检索和显示那些文档,如图1-1所示。这种相关信息流仅由服务器向浏览器单向传送。多数站点并不验证用户的合法性,因为根本没有必要这样做;所有用户同等对待,提供同样的信息。创建一个Web站点所带来的安全威胁主要与Web服务器软件的(诸多)漏洞有关。攻击者入侵Web站点并不能获取任何敏感信息,因为服务器上保存的信息可以公开查看。所以攻击者往往会修改服务器上的文件,以歪曲Web站点的内容,或者利用服务器的存储容量和带宽传播“非法软件”。

如今的万维网与早期的万维网已经完全不同,Web上的大多数站点实际上是应用程序(见图1-2)。它们功能强大,在服务器和浏览器之间进行双向信息传送。它们支持注册与登录、金融交易、搜索以及用户创作的内容。用户获取的内容以动态形式生成,并且往往能够满足每个用户的特殊需求。它们处理的许多信息属于私密和高度敏感的信息。因此,安全问题至关重要:如果人们认为Web应用程序会将他们的信息泄露给未授权的访问者,他们就会拒绝使用这个Web应用程序。

 

                             图1-1 包含静态信息的传统Web站点  

 

                                       图1-2 典型的Web应用程序 

 

Web应用程序带来了新的重大安全威胁。应用程序各不相同,所包含的漏洞也各不相同。许多应用程序是由开发人员独立开发的,还有许多应用程序的开发人员对他们所编写的代码可能引起的安全问题只是略知一二。为了实现核心功能,Web应用程序通常需要与内部计算机系统建立连接。这些系统中保存着高度敏感的数据,并能够执行强大的业务功能。15年前,如果需要转账必须去银行,让银行职员帮助你完成交易。而今天,你可以访问银行的Web应用程序,自己完成转账交易。进入Web应用程序的攻击者能够窃取个人信息,进行金融欺诈或执行针对其他用户的恶意行为。

 Web应用程序的常见功能

创建Web应用程序的目的是执行可以在线完成的任何有用功能。近些年出现的一些Web应用程序的主要功能有:

购物(Amazon);

社交网络(Facebook);

银行服务(Citibank);

Web搜索(Google);

拍卖(eBay);

博彩与投机(Betfair);

博客(Blogger);

Web邮件(Gmail);

交互信息(Wikipedia)。

如今,使用计算机浏览器访问的应用程序的功能越来越多地与使用智能手机或平板电脑访问的移动应用程序的功能重叠。大多数移动应用程序都通过浏览器或定制客户端与服务器进行通信,这些浏览器或客户端大多使用基于HTTPAPI。应用程序功能和数据通常在应用程序用于不同用户平台的各种接口之间共享。

除公共因特网外,组织内部已广泛采用Web应用程序来支持关键业务功能。许多这类应用程序可以访问各种高度敏感的数据和功能。

用户可以使用HR应用程序访问工资信息、提供并接收绩效反馈,以及管理人员招聘和纪律处分程序。

连接关键体系架构(如Web和邮件服务器)的管理接口、用户工作站及虚拟机管理。

用于共享文档、管理工作流程和项目、跟踪问题的协作软件。这些功能通常涉及重要的安全和监管问题,而且组织结构大多完全依赖于它们的Web应用程序内置的控件来实现这些功能。

企业资源规划(ERP)软件等业务应用程序,这类应用程序以前使用专用厚客户端应用程序访问,现在则可以通过Web浏览器进行访问。

电子邮件之类的软件服务,这类服务最初需要独立的电子邮件客户端,现在可以通过Web接口(如Outlook Web Access)访问。

传统的桌面办公应用程序(如文字处理程序和电子表格)已通过Google AppsMicrosoft Office Live等服务转换为Web应用程序。

为降低成本,组织逐渐将各种任务外包给外部服务提供商来完成,因此,在上述所有示例中,我们所认为的“内部”应用程序正日益由外部机构托管。在这些所谓的“云”解决方案中,业务关键功能和数据向数目更庞大的潜在攻击者开放,而组织却越来越多地依赖于不受其控制的安全防御。

大多数计算机用户所需要的客户端软件仅仅是一个Web应用程序,这样的时代即将来临。到那时,用户使用一组共享的协议和技术即可执行各种功能,但随之也会出现各种常见的安全漏洞。 

 

     Web应用程序的优点

Web应用程序越来越流行的原因显而易见。若干技术因素已经与主要的商业动机相结合,从而引发了因特网使用方式上的重大变革。

HTTP是用于访问万维网的核心通信协议,它是轻量级的,无须连接。这一点提供了对通信错误的容错性。应用HTTP,许多传统客户端—服务器应用程序中的服务器无须再向每一个用户开放网络连接。HTTP还可通过代理和其他协议传输,允许在任何网络配置下进行安全通信。

每个Web用户都在其计算机和其他移动设备上安装了浏览器。Web应用程序为浏览器动态部署用户界面,不必像以前的Web应用程序那样需要分配并管理独立的客户端软件。界面变化只需在服务器上执行一次,就可立即生效。

q 如今的浏览器功能非常强大,可构建内容丰富并且令人满意的用户界面。Web界面使用标准导航和输入控件,可保证用户即时熟悉这些功能,而不需要学习如何使用各种应用程序。应用程序可通过客户端脚本功能将部分处理交由客户端完成,必要时,可使用厚客户端组件任意扩展浏览器的功能。

q 用于开发Web应用程序的核心技术和语言相对简单。即使是初学者,也可使用现有的各种平台和开发工具,开发出强大的应用程序,还有大量开源代码和其他资源可供整合到定制的应用程序中。

 

 ——摘自《黑客攻防技术宝典:Web实战篇(第2版)》

分享到:
评论

相关推荐

    OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险

    OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险

    OWASP发布Web应用程序的十大安全风险

    OWASP发布Web应用程序的十大安全风险

    堵住十大安全漏洞 避免Web应用程序的安全风险

    目前,企业开发的很多新应用程序都是Web应用程序,而且Web服务也被越来越频繁地用于集成Web应用程序

    Web应用安全开发规范.doc

    许多程序员不知道如何开发安全的应用程序,开发出来的Web应用存在较多的安全漏洞,这些安全漏洞一旦被黑客利用将导致严重甚至是灾难性的后果。这并非危言耸听,类似的网上事故举不胜举,的Web产品也曾多次遭黑客攻击...

    OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险.zip

    OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险.zip

    黑客攻防技术宝典:Web实战篇(第2版)1

    前言第1章 Web应用程序安全与风险1.1 Web应用程序的发展历程1.1.1 Web应用程序的常见功能1.1.2 Web应用程序的优点1.2 Web应用程序安

    Web应用安全威胁与防治 基于OWASP Top 10与ESAPI.pdf

    以当今公认的安全权威机构OWASP(Open Web Application Security Project)制定的OWASP Top 10为蓝本,介绍了十项最严重的Web应用程序安全风险, 并利用ESAPI(Enterprise Security API)提出了解决方案。

    web应用程序结构化的过程

    开发web应用程序是一件非常辛苦的事情,你需要花大把大把的时间来做无数的事情。假如你不运用有条理的方法,尤其是在复杂的项目中,你会承受忽视项目,不能按时完成,浪费时间一无所获的风险。 这篇文章中,结构化...

    Web服务安全风险评估

    随着计算机网络署及internet的迅速普及,Web作为一个大规模的联机式的信息储藏所,使得访问顾客和猎奇比以往所能想象的要...Web是不断进化的,Web服务成为进化后的Web应用程序的体系结构,成为计算世界里的最耨阶段。

    网络安全课程视频.zip

    目录网盘文件永久链接 0、安全导论、网络安全基础入门 1、Web应用程序安全与风险 2、Web应用程序技术 3、攻防环境搭建 4、Kail之MSF渗透测试

    ASP.NET在Web应用程序安全性的研究

    管理与这些复杂的Web应用程序相关的风险是公司的必然要求,而且运行这些Web应用程序的底层代码的安全性直接影响到公司应用程序可用数据的风险态势。不幸的是,开发可重复的高效Web应用程序的安全实践并非一项简单...

    威胁建模Web应用程序

    术语主要概念Web应用程序安全框架工具集成模块本指南包含以下模块:•Web应用程序威胁模型一览•HowTo:在设计时为Web应用程序创建威胁模型•备忘单:Web应用程序安全框架•演练:为Web应用程序创建威胁模型•模板:...

    计算机病毒与防护:WEB安全基础.ppt

    通过学习WEB应用安全技术能够掌握WEB应用安全面临的安全风险和解决方案,具备进行WEB应用安全评估和加固的能力 WEB应用安全的兴起 传统系统安全体系的建立 互联网时代WEB应用的繁荣 防火墙 入侵防护系统 80%以上的...

    Web应用程序中XSS攻击的检测:一种机器学习方法-研究论文

    Web应用程序安全风险抵御XSS攻击的传统方法包括基于硬件和软件的Web应用程序防火墙,其中大多数它们是基于规则和签名的。 通过模糊攻击负载,可以绕过基于规则和基于签名的Web应用程序防火墙。 因此,基于规则和基于...

    friend-applications:朋友的应用程序集合| 互联网操作系统

    朋友申请朋友的应用程序集合| 互联网操作系统这些应用程序中的一些是本机FriendUP应用程序,而其他则是简单的iframe Web应用程序。 从本质上讲,它们允许在Friend窗口中与远程站点进行交互。 对于其中的一些IFRAME ...

    通过渗透测试确保 Web 应用程序安全-研究论文

    漏洞评估和渗透测试是一种从 Web 应用程序中消除各种安全威胁的特殊方法。 通过关注SQL注入、跨站脚本、本地文件包含和远程文件包含等高风险漏洞,在本文中,我们查阅了文献,研究了VAPT过程的一般机制,并收集了在...

    WASP的十大Web应用程序

    WASP的十大Web风险 及对应的检测工具.

    Veracode应用程序安全扫描工具

    Veracode提供自动化的静态和动态应用程序安全测试软件和补救服务。我们扫描二进制代码和产生缺陷优化报告。然后,我们与您的开发人员一起,按照您的风险管理政策,利用Veracode UI用户界面(或您现有的集成开发环境...

    预防Web应用程序的漏洞

    如今的Web应用程序可能会包含危险的安全缺陷。这些应用程序的全球化部署使其很容易遭受攻击,这些攻击会发现并恶意探测各种安全漏洞。Web环境中两个主要的风险在于:注入——也就是SQL注入,它会让黑客更改发往...

Global site tag (gtag.js) - Google Analytics