Web安全性问题的层次关系

最新推荐文章于 2020-04-29 18:42:10 发布
最新推荐文章于 2020-04-29 18:42:10 发布
阅读量6.3k 收藏 4
点赞数
文章标签: web 安全相关 网络 防火墙 脚本 搜索引擎
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iwebsecurity/article/details/1682632
版权

大家经常会听到看到很多很多有关安全性方面的信息,可以说形形色色,对于在网络安全方面不太专业的同志来说,有点眼花缭乱,理不出头绪。在这里,我来帮大家整理一下。
  以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解,我们通常把它分为三个层次:
  1、网络安全。如防火墙、路由器、网络结构等相关的安全问题
  2、系统与服务安全。如Window/Linux/Unix系统本身的漏洞或运行于其上的服务的安全,象Apache/OpenSSL/Weblogic等本身的安全性漏洞
  3、Web应用程序安全。具体应用程序的安全性漏洞,比如:某网站邮件系统因为存在脚本安全性问题,导致该邮件系统的用户在收到具有恶意代码的邮件时不知不觉的,其密码与帐号信息被人窃取。
  说到这,大家应该清楚,不管你是在任何地方看到有关计算机安全性问题的方方面面,都逃不出这三大部分,同时我也要向读者声明一下:在这里,我主要是给大家陆续的介绍上述第三部分内容,即Web应用程序安全性相关知识与技能。
  据权威搜索引擎公司统计数据显示,目前70%以上的网站,或多或少的存在安全隐患,这里的安全隐患指的就是Web应用程序的安全。至于网络、系统与服务的安全性问题,我个人认为它的生存周期基本上是:发现->上报软件开发商->打补丁->下载更新程序。作为我们用户,及时的给系统与服务打上最新的补丁,配合一定的防火墙安全策略,是可以基本保证其安全的。但是Web应用程序基本上是每个组织各持一套自己的程序,一切问题都必需自己动手去解决,恰恰因为此种特性,才导致目前运行于互联网上的Web应用的安全性普遍存在。为什么呢?因为只有少数组织或个人有能力驾驭网络安全相关的技术与经验,而绝大多数的即使是专业做网站开发的公司也不一定有知识有能力或有意识去考虑安全性问题.
  还要向读者罗嗦一点是的:安全需要意识,没有安全意识的组织与个人,是无法保证其开发出的产品的安全性的。这一点很重要,很多人只是从媒体上看到听到一些安全性问题,总觉得安全性问题离自己很遥远,其不知安全性问题正在对其造成越来越严重的破坏......。前不久上海有一位朋友,银行卡的资金不明转出,且被人取走,报警后,经警方多方调查跟踪,最络查明:其经常使用网上银行的笔记本电脑中了“灰鸽子”木马,导致其操作电脑的行为及其电脑上的现在资源完全暴露无遗。有人要问:“灰鸽子”是如何跑到其计算机上的呢?当然进去的途径有多种,比如我们是网友,我通过QQ发给你让你运行一下;或者我向你推荐一款你比较感兴趣的免费软件,该软件内部已经绑定了“灰鸽子”木马程序......,还有一点很重要的就是通过网页来传播。比如通过脚本注入的方式,强行的不停的提示你下载并运行该程序;通过上传漏洞上传到一个你信任的网站上,当它提示你下载并安装时,你发现它来自你信任的网站,于是就接受了......
  总之,Web应用程序是我们接触最多最有可能通过带来安全隐患的载体。我将在之后的文章里步步向大家介绍Web应用程序安全性相关的知识、方法与我个人的多年从事web应用程序安全性检测的经验。希望我的努力就是您的需要。

相关安全Solution 和Knowledge网站,请参阅: 

<script> document.write(" frameborder=0 width=468 height=45 marginheight=0 marginwidth=0 scrolling=no src=/"htt"+"p://iwebsecurity.googlepages.com/GoogleADPaster.html/">");</script>
iwebsecurity
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
物联网安全_实验9 信息保密性、完整性和不可抵赖性的综合应用.doc
06-23
具体而言,在PGP中是通过在公钥环中的下述3个字段来实现Web of Trust信任模型的:(1)密钥合法性字段(key legitimacy field):指示用户公钥合法性的可信等级。信任级别越高,则用户标识UserID与密钥间的绑定关系...
安全体系七层内容
xinyi0622的博客
04-03 1833
第一层: 实体安全 实体安全是信息系统安全的基础。依据实体安全国家标准,将实施过程确定为以下检测与优化项目:机房安全、场地安全、机房环境/温度/湿度/电磁/噪声/防尘/静电/振动、建筑/防火/防雷/围墙/门禁、设施安全、设备可靠性、通信线路安全性、辐射控制与防泄露、动力、电源/空调、灾难预防与恢复等,检测优化实施过程按照国家相关标准和公安部的实体安全标准。 第二层: 平台安全 ...
关于建立Web安全的看法
maxiaoqiang1的专栏
11-05 486
<br />做了一年多小型web网站服务器维护,没有硬件防火墙,没有IPS,没有IDS,就一台PC级服务器,server 2003+iis+sql server 2005+asp.net的环境。曾遭遇入侵事件,对web安全有一些自己的看法。 做好web安全,我认为主要是以下3个层次 第一:入口层次 入口层级即控制服务器与网络相连接的所有接口。 1、web页面,应该尽量消除所有SQL注入点,可以将所有页面都使用静态页。 2、不要直接暴露后台路径,使用安全的后台账号密码并从程序上对其进行加密,尤其防止被社工。
安全】Java(web)项目安全漏洞及解决方式【面试+工作】
瑞新の博客:bennyrhys
04-29 4771
文章目录问题一.安全性问题层次关系二.安全性问题的本质三.安全漏洞及处理方式1、SQL注入攻击2、XSS跨站脚本攻击3、CSRF跨站请求伪造漏洞防护4、URL链接注入漏洞防护5、会话COOKIE中缺少HttpOnly防护6、点击劫持漏洞(Clickjacking)防护7、HTTP host 头攻击漏洞8、越权访问漏洞防护9.弱口令漏洞10.JSP页面抛出的异常可能暴露程序信息。11.本地缓存漏洞1...
web项目的安全性
endlesslin的专栏
05-05 401
跨站脚本 你在页面输入一些alert语句,或者onchage存储到数据库时,当这些值返回到页面时,会不会触发一些javascript事件?所以这时应该对一些特殊符号进行一些转义操作,如" "或&lt;&gt;,()等。    sql注入 你在页面输入一些参数时,很可能这些值是某个sql语句的条件值,当你在后面加一些多的语句,例如:' drop table xxx;这时就有可能存...
网络安全技术与应用.doc
06-09
应用安全WEB安全、邮件技术安全、PKI密钥、安全编程。 物理安全:环境安全、设备安全等。 安全管理:安全审计、风险评估、安全项目管理,安全策略、安全标准、安全指南 等。 加密技术:密码学、密钥算法、密码...
关于计算机网络安全与防范论文.docx
06-06
网络上,软件的安装和管理方式是十分关键的,它不仅关系网络维护管理的效率和质量,而且涉及到网络安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器...
网络数据库安全设计与实现.doc
01-08
网络数据库安全设计与实现 【摘 要】随着互联网飞速发展,网络环境日益开放,因此,网络数据库的安全问题显得越来 越重要。本文论述了网络数据库的安全设计,从三个方面阐述了网络数据库安全的实现 ,为网络数据库...
计算机网络安全与管理(1).docx
06-10
网络上,软件的安装和治理方式是十分关键的,它不仅关系网络维护治理的效率和质量,而且涉及到网络安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器...
如何消除网站安全的七大风险
guojun828的专栏
05-19 531
文/ 晁晓娟 以工作中某项目的安全改善过程为例,分享了常用网站安全性的典型问题和解决对策,希望对网站开发者有借鉴意义。  有过网站开发经验的朋友都知道网站安全是构建网站时必须要考虑的一个因素,网站安全的重点在于服务器的安全配置管理以及程序脚本的完善性。值得注意的是,如果服务器的账号和权限由于管理不善而泄露了,即使技术上网站系统再安全,也不可避免会受到攻击。 在笔者曾经参与过
web安全性考虑的几方面
test_soy的博客
11-16 7988
随着存在安全隐患Web应用程序数量的骤增,Open Web Application Security Project (开放式Web应用程序安全项目,缩写为OWASP)总结出了现有Web应用程序在安全方面常见的十大漏洞,以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险: 非法输入 Unvalidated Input 在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏
web开发常见安全问题
atree1987的专栏
04-18 3859
xss注入 概念XSS又叫CSS(Cross Site Script),跨站脚本攻击。指的是恶意攻击者往web页面里插入恶意脚本代码,而程序对于用户输入内容没有过滤,当用户浏览时,嵌入的脚本代码被执行,达到恶意攻击用户的目的。 分类XSS漏洞可分为反射型XSS和存储型XSS。反射型XSS是直接将恶意代码的执行结果反射给浏览器,而存储型XSS是将恶意代码存储在服务器端,再输出给前端页面。任何用户访问该
web 安全方面的一些知识,希望各位大虾能补充的更完善!
studylixiang的专栏
06-19 583
web应用存在的10大安全问题
zhusongziye的博客
11-04 9132
 1 在web应用程序中是什么导致安全性问题呢?一般有以下几个原因 1、复杂应用系统代码量大、开发人员多、难免出现疏忽 2、系统屡次升级、人员频繁变更,导致代码不一致 3、历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上 4、开发人员未经过安全编码培训或者公司根本就没有统一的安全编码规范 5、测试人员经验不足或者没经过专业的安全评估测试就发布上线 6、没有对用户的输入进行验证: ...
如何对Web Application进行安全性评估
weixin_34252090的博客
06-25 80
如何对Web Application进行安全性评估呢?简单点说就是利用合适的工具,模拟网络用户对Web Application(包括Web Server)进行***,对一些潜在的安全弱点进行测试,找出Web Application的Weaknesses,根据严重程度进行评估。 具体进行Web Application的测试时要全面系统。下面的一些步骤可以用来发现被评估程序的安...
TCP/IP层次安全性
weixin_41924879的博客
09-25 5277
TCP/IP层次安全性 TCP/IP的安全性可分为多层,各安全层是一包含多个特征实体。在不同层次,可增加不同安全策略和措施。如在传输层提供安全套接层服务SSL和其继任者传输层安全TLS,是为网络通信提供安全及数据完整性的一种安全协议,在网络层提供虚拟专用网VPN技术等。TCP/IP网络安全技术层次体系如图所示。 TCP/IP物理层的安全性 TCP/IP模型的网络接口层对应着OSI模型的物理层...
web安全问题分类
teaca的专栏
03-09 1264
开始我的web安全测试之旅第一步,弄清楚web安全问题分类,呵呵,宏观的认识很重要,会让你有一种高屋建瓴的感觉,希望对大家有点用。Web安全类型形形色色,常见的安全问题,大家可能也都能说出一两个,什么SQL注入、xss、cookie欺骗等。如果我们列出几十种web安全问题,估计就要晕了。所以有必要归类。从宏观角度讲,web安全方面的问题可以分为三层 ,即网络、操作系统和服务器、web应用程序,用图来描述一目了然。任何web安全都可以归类到这三个层次中。是不是忽然有种纲举目张的感觉了呢,呵呵。 在形形色色的w
全程追踪入侵JSP网站服务器
成长全记录
03-28 282
无意中搜索到的一文章,感觉不错,转来学习了~ 在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言,安全性真的能够让人放心吗?面对层出不穷的黑客攻击和病毒袭击,JSP网站的服务器能够比其他网站的服务器器更加安全吗?前段时间,应朋友之邀,我对他们托管的三台服务器的主机进行了测试,发现了JSP网站存在的几个问题。   入侵测试第一步:扫描   扫描是入侵的第一步,它可以让你对即将入侵的目标有一...
web开发框架概要设计
最新发布
07-10
概要设计在整个开发过程中起到了框架指导和规划的作用,它不仅为框架的具体实现提供了蓝图,还确保了框架具备良好的可扩展性、稳定性和安全性,同时也方便了开发人员的编码和调试工作。 ### 回答3: Web开发框架...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值