web实战篇学习笔记——第一章
1. web应用程序安全与风险
1.1 web应用程序发展历程
早期阶段,万维网仅由web站点构成,基本上是包含静态文档的信息库。相关信息流仅由服务器向浏览器单向传送,多数站点不验证用户的合法性。
攻击者入侵web站点并不能获取任何敏感信息,所以入侵者往往会修改服务器上的文件,以歪曲web站点的内容,或者利用服务器的存储容量和带宽传播“非法软件”。
如今,web上的大多数站点实际上是应用程序。在服务器和浏览器之间进行双向信息传送。处理的许多信息属于私密和高度敏感的信息。因此,安全问题就至关重要。
1.1.1 web应用程序的常见功能
| 功能 |
|---|
| 购物 |
| 社交网络 |
| 银行服务 |
| web搜索 |
| 拍卖 |
| 博客 |
| web邮件 |
| 交互信息 |
除公共因特网外,许多组织内部也广泛采用web应用程序执行一些关键业务的功能。
大多数计算机用户所需要的客户端软件仅仅是一个web应用程序,用户使用一组共享的协议和技术即可执行各种功能,但随之也会出现各种常见的安全漏洞
1.1.2 web应用程序的优点
HTTP是应用于访问万维网的核心通信协议,是轻量级的,无需连接。这一点提供了对通信错误的容错性。应用HTTP,许多传统客户——服务器应用程序中的服务器无需再向每一个用户开放网络连接。HTTP还可以通过代理和其他协议传输,允许在任何网络配置下进行安全通信。
用于开发web应用程序的核心技术和语言相对简单。即使是初学者,也可使用现有的各种平台和开发工具,开发出强大的应用程序,还有大量的开源代码和其他资源可供整合到定制的应用程序中。
1.2 web应用程序安全
于任何新兴技术一样,web应用程序也会带来一系列新的安全方面的漏洞。漏洞也在与时俱进,出现了一些开发人员在开发现有阶段未曾考虑到的攻击方式。
可以说,如今的web应用程序的安全领域是攻击者与计算机资源和数据防御者之间最重要的战场,在可预见的将来,这种情况可能仍将持续。
1.2.1 “本站点是安全的”
查询一个典型的应用程序的FAQ界面,其中的内容会向你保证该应用程序确实是安全的。例如:
本站点绝对安全。它使用128位安全套接层(Secure Socket Layer,SSL)技术设计,可防止未授权用户查看您的任何信息。您可以放心使用本站点,我们绝对保障您的数据安全。
但实际上,大多数web应用并不安全,而且从某种程度来说,这与SSL无关。
简要说说部分漏洞:
1.不完善的身份验证措施:这类漏洞包括应用程序登陆机制中的各种缺陷,可能会使攻击者破解保密性不强的密码、发动蛮力攻击或完全避开登录。
2.不完善的访问控制机制:这一问题涉及的情况包括:应用程序无法为数据和功能提供全面保护,攻击者可以查看其他用户保存在服务器中的敏感信息,或者执行特权操作。
3.SQL注入:攻击者可通过这一漏洞提交专门设计的输入,干扰应用程序与后端数据库的交互活动。攻击者能够从应用程序中提取任何数据,破坏其逻辑结构,或者在数据库服务器上执行命令。
4.跨站点脚本:攻击者可利用该漏洞攻击应用程序的其他用户、访问其信息、代表他们执行未授权操作,或者发动其他攻击。
5.信息泄露:这一问题包括应用程序泄露敏感信息,攻击者利用这些敏感信息通过有缺陷的错误处理或其他行为攻击应用程序。
1.2.2 核心安全问题:用户可提交任意输入
与许多大量使用的应用程序一样,为确保安全,Web应用程序必须解决一个根本的问题。由于应用程序无法控制客户,用户几乎可向服务器端应用程序提交任意输入。应用程序必须假设所有输入的信息都是恶意的输入,并必须采取措施确保攻击者无法使用专门设计的输入破坏应用程序,干扰其逻辑结构与行为,或者非法访问其数据和功能。
①用户可干预客户与服务器间传送的所有数据,包括请求参数、cookie和HTTP信息头。 可轻易避开客户端执行的任何安全控件,如输入确认验证。
②用户可按任何顺序发送请求,并可在应用程序要求之外的不同阶段不止一次提交或根本不提交参数。用户的操作可能与开发人员对用户和应用程序交互方式做出的任何假设完全不同。
③用户并不限于仅使用一种Web浏览器访问应用程序。大量各种各样的工具可以协助攻击Web应用程序,这些工具既可整合在浏览器中,也可独立于浏览器运作。这些工具能够提出普通浏览器无法提交的请求,并能够迅速生成大量的请求,查找和利用安全问题达到自己的目的。
绝大多数针对Web应用程序的攻击都涉及向服务器提交输入,旨在引起- 些应用程序设计者无法预料或不希望出现的事件。以下举例说明为实现这种目的而提交的专门设计的输入。
①更改以隐藏的HTML表单字段提交的产品价格,以更低廉的价格欺诈性地购买该产品。
②修改在HTTP cookie中传送的会话令牌,劫持另一个验证用户的会话。
③利用应用程序处理过程中的逻辑错误删除某些正常提交的参数。
④改变由后端数据库处理的某个输入,从而注入一个恶意数据库查询以访问敏感数据。
1545
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
