现如今,科技飞速发展,人们的安全问题也随之出现。在互联网方面也同样有这样一个问题,互联网的快速发展,但随之而来的同样有安全问题,这个就是这篇博客的主题——web安全。
一、定义
随着社交网络等很多互联网产品的诞生,基于Web环境的互联网应用也越来越广泛,正是因为此,黑客就利用网站的操作系统的漏洞和Web服务器的控制权限,篡改网页内容,窃取重要的内部数据,还有在网页中植入恶意代码,使得网站的访问者受到侵害。
二、Web安全越来越严重的原因
我们目前有很多事情都基于互联网完成,例如:网购,网上银行等,这就让很多黑客起了歹心,他们想通过一些不好的手段获取他人的个人信息等,当然这只是一个方面,还有相关技术的不成熟,比如说:
1、TCP/IP的设计没有考虑安全问题,使得在网络上传输的数据是没有任何安全防护的,使得攻击者可以利用系统的漏洞造成系统进程缓冲区溢出,攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序,甚至安装和运行恶意代码,窃取机密数据。
2、应用层的软件在开发过程中也没有过多的考虑安全问题,使得程序本身有很多的漏洞。
3、缓冲区溢出、SQL注入等等流行的应用层攻击,这些均属于在软件研发过程中疏忽了对安全的考虑所致。
三、web安全攻击种类
1、SQL注入
通过把SQL命令插入到web表单递交或输入域名或页面请求的字符串,最终达到欺骗服务器执行SQL命令的目的。
2、跨站脚本攻击(xss攻击)
利用网站漏洞在用户那里恶意盗取信息,攻击者通过向一些链接中插入恶意代码,盗取用户信息。
3、CSRF攻击:通过伪装来自受信任用户的请求来利用受信任的网站,是危害最大的攻击之一