目录
应用安全
应用系统的体系架构
- 客户端
- 传输协议
- 应用服务软件
- 数据库
复杂性和多样性使得安全问题也呈现出多样化的特点
Web服务端软件
- Web服务提供: Apache、IIS等
- 中间件: tomcat等
安全问题
软件漏洞,如缓冲区溢出、unicode解码漏洞等
软件不安全配置
- 默认账号、口令
- 不安全的配置
例:IIS配置允许远程写入
应用软件开发语言
PHP、JAVA、ASP等
应用软件安全问题运行环境
- 存在安全漏洞
- 开发的Web应用存在安全漏洞
例如: SQL注入,跨站脚本等
浏览器
IE、firefox、chrome等
安全问题
- 安全机制不足
- 浏览器自身存在漏洞
- 默认配置安全性不足
HTTP协议
HTTP(超文本传输协议)
- 一种通信协议
- 使用超文本标记语言(HTML)将资源从服务器传送到客户端
超文本传输协议特点
- 请求、响应模式
- 协议简单,客户端只需传输请求方法和路径
- 无连接(一个请求一个连接,完成后断开)
- 无状态
Http协议安全问题
- 信息泄漏(传输数据明文)
- 弱验证(会话双方没有严格认证机制)
http1.1提供摘要访问认证机制,采用MD5将用户名密码、请求包头等进行封装,但仍然不提供对实体信息的保护
- 缺乏状态跟踪
请求响应机制决定http是一个无状态协议
Session解决方案带来的安全问题
Web安全防护技术
Web应用防火墙
- 工作在应用层
- 根据安全策略对HTTP/HTTPS的数据进行处理为Web应用提供保护的一类产品,用以解决Web应用层出现的安全问题
基本功能
- 审计并拦截HTTP数据流
- Web应用访问控制
- Web应用加固
网页防篡改
监控Web服务器上的页面文件,防止被篡改
机制
- 备份文件对比
- 摘要文件对比
- 删改操作触发
- 系统底层过滤