【网络安全篇】浅谈web应用程序的安全风险

最新推荐文章于 2023-10-20 09:57:57 发布
最新推荐文章于 2023-10-20 09:57:57 发布
阅读量1k 收藏 3
点赞数 5
分类专栏: 网络安全 文章标签: 前端 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66623111/article/details/128475648
版权

🏆今日学习目标:
🍀浅谈web应用程序的安全风险
✅创作者:贤鱼
⏰预计时间:25分钟
🎉个人主页:贤鱼的个人主页
🔥专栏系列:网络安全
🍁贤鱼的个人社区,欢迎你的加入 贤鱼摆烂团

我正在参加博客之星评选
希望如果您看到了这里麻烦帮我打个五星好评评论一下谢谢!
https://bbs.csdn.net/topics/611391170?spm=1001.2014.3001.6953
您的认可就是我创作的最大动力
请添加图片描述

web应用程序

web应用程序

发展历程

因特网发展的早期阶段,万维网只由Web站点构成,这些站点包含静态文档的信息库
web浏览器的功能就是检索这些文档
这些信息由服务器向浏览器单向传送
在这里插入图片描述

由此可见,所有的用户权限都是相同的,面对的信息也都一样,所以根本不需要验证用户的合法性
攻击者无法从web站点上获取任何的敏感消息
但是这不意味着站点不会受到攻击
有时候攻击者会篡改网页内容或者利用服务器传播"非法软件"

  • 如今的web站点大多数是应用程序,他们包含了各种功能,也可以实现服务器浏览器之间双向信息传输
  • 并且可以满足用户各种的需求
  • 这就代表着现在web站点处理的大多是私密性息,所以安全也变得越发重要

常见功能

现在网站的常见功能主要有以下几点

  • 社交
  • 购物
  • 银行服务
  • 搜索
  • 拍卖
  • 博客
  • 邮件
  • 交互性息
  • 博彩

大多数计算机用户需要的客户端软件只是一个web应用程序,一组共享协议和技术就可以满足各种要求,随之而来的就是各种安全漏洞

优点

  • 流行
    如今web应用程序越来越流行显而易见,同样它越发流行的原因也非常好理解,不仅功能强大并且易于学习
  • 协议变革
    如今访问万维网主要是利用HTTP协议,它无需链接,提供了对通信信息错误的容错性,同时许多传统服务器无需再向用户开放网络连接.HTTP可以通过代理和其他的协议传输实现在任何网络配置下安全通信
  • 用户界面
    web应用程序为浏览器动态部署用户界面,不必像以前分配并独立管理客户端软件
  • 功能强大
    浏览器可以构建丰富并且让人满意的用户界面,web界面使用导航可以让用户快速熟悉这些功能,并且可以使用厚客户端组件任意拓展浏览器功能
  • 方便开发
    web应用程序的核心技术和语言相对简单,可以利用现有平台和开发工具开发出强大的应用程序,并且越来越多的开源代码和其他资源也让学习变得不那么艰难

web应用程序安全问题

安全漏洞也随着web应用程序的发展一起"与时俱进"

随着越来越多应用程序被开发,各种安全漏洞也随之暴露
安全意识的加钱让一些问题得到解决
在这里插入图片描述
对于web程序来说,最严重的攻击就是暴露敏感数据或者获取对程序后端无限访问权限的攻击,对于任何组织和个人来说,导致系统中断的攻击都属于重大事件
通过实施应用程序级拒绝服务攻击,可以达到和针对基础架构的传统资源耗竭的攻击相同的目的
通过这些攻击可以在金融,赌博等领域获得优势

问题因素

针对应用程序的漏洞有很多

  • 不完善的身份验证措施
  • 不完善的访问控制措施
  • 跨站点脚本
  • SQL注入
  • 信息泄露
  • 跨站点请求伪造

在这里插入图片描述

为了保证安全,web程序必须解决一个根本问题
控制客户端输入
由于无法控制客户端,导致可以提交任意输入,就会造成安全问题
当然,多种因素的组合才是让问题更加严重的关键

  • 最主要就是不成熟的安全意识
    即使是经验丰富的web应用程序开发人员也会遇到一些完全陌生的到缺陷类型
  • 欺骗性的简化
    当前web开发程序非常强大,让一个新手也能短时间创建一个强大的应用程序.但是功能性和安全性并不会直接挂钩,使用现成的框架结构等就会让潜在风险大肆传播,如果出现一个漏洞,也能影响到许多无关程序
  • 防御和攻击研究不成熟
    对于这个快速发展的领域,威胁出现速度大大加快,在开发之前就完全了解危险的开发团队,在程序开发完毕也可能遇到许多未知危险
  • 资源时间限制
    小型组织大多数不愿意花大量精力去评估一个新的应用程序,快速渗透测试也只能发现明显的安全漏洞
  • 技术困难
    *现在web应用程序的功能远远超过最初设想,对于要求的变化,开发人员还用原来的技术满足新的要求,也会造成安全漏洞
  • 功能不断增强
    如今面对各种眼花缭乱的功能,上传照片,自定义页面风格,社交,还有找回密码,用户名等都增大了网站的收攻击面
    在这里插入图片描述

总结

随着web应用程序的发展,安全边界也随之变化
web应用程序出现之前主要是网络边界抵御外部攻击,但是现在大部分安全边界更加关注使用的web应用程序
web安全形势也在不断地变化,以往只需要浏览器就能探测和利用漏洞,现在需要非常大的精力和先进技术
尽管web应用程序法神了许多改变,但是传统漏洞并未减少,面对传统和新型漏洞,这些问题任然需要关注

总结一波
当前多数应用程序都面临一个核心安全问题,如何处理用户提交任意输入,对于用户输入无法直观判断善意和恶意的,这个问题不处理应用程序就会面对各种攻击

当前web应用程序安全状况所有证据表明,这个问题未能得到良好解决,不管是对于部署程序组织还是访问用户,针对web应用程序的攻击都是一个严重威胁
请添加图片描述

贤鱼不闲
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 9
    评论
专栏目录
浅谈IIS安全配置
09-30
IIS(Internet Information Services)是微软提供的一个强大的Web服务器软件,用于托管各种应用程序和服务。确保IIS的安全配置至关重要,因为它可以防止恶意攻击者利用漏洞入侵系统。以下是一些基于个人经验的IIS...
浅谈php安全性需要注意的几点事项
10-25
PHP安全是构建稳定、可靠Web应用程序的关键要素。本文主要探讨了在编写PHP程序时需要注意的几个关键安全性问题,旨在为开发者提供一些实用的安全实践和指导。 首先,确保良好的网站结构至关重要,以防止泄露敏感...
十大Web应用安全风险
天元喜羊羊的博客
05-16 2285
A1—注入 (Injection):是指攻击者通过输入恶意数据,从而达到在Web服务器环境下运行任意指令的目的。比较有名的是SQL、XML和LDAP注入。在应用程序中,通过对用户输入的特定字符进行转义,可以预防恶意数据的注入。 A2—跨站脚本 (Cross-Site  Scripting,XSS):是指应用程序在没有对用户输入进行正确验证的情况下,将这些输入直接输出到了Web浏览器中,而这些输入
Web理论Web应用程序安全风险
只有不断学习才不会被茫茫人海淹没!
04-19 6788
📢前言 ✅✅博客主页: 花城的包包 🔊🔊欢迎关注🔎点赞👍收藏⭐️留言📝 🔥🔥本文收录于黑客攻防技术全栈系列专栏:30天黑客攻防技术从入门到精通.后续将陆续更新,敬请期待! 📃📃此专栏是专门针对想入门网络安全领域的小白,计划用一个月更完! -🚀🚀 一个人可以走得很快,一群人可以走得更远!快加入我和我一起学习吧! 📧📧只有不断学习才能不被茫茫人海淹没! 💪💪如发现错误,请评论区留言轰炸我,万分感谢! 目录📢前言🌲1.Web应用程序的发展历程🍂1.1 Web应用程序的常见功能🍂1.2 Web应用程序的优.
web安全10大风险
LDF-Dicky的博客
10-03 2223
官方文档: http://www.owasp.org.cn/owaspproject/OWASPTop102017RC1V1.0.pdf 转载源:http://blog.csdn.net/lifetragedy/article/details/52573897 OWASP Top 10 – 2013 (旧版) OWASP Top 10 – 2017 (
浅谈Web应用系统的安全风险
weixin_34318272的博客
05-22 921
【51CTO.com 专家特稿】在Web技术飞速演变、电子商务蓬勃发展的今天,企业开发的很多新应用程序都 是Web应用程序,而且Web服务也被越来越频繁地用于集成Web应用程序或与其进行交互,这些趋势带来的问题就是:Web应用程序和服务的增长已超越了 程序开发人员所接受的安全培训和安全意识的范围。web应用系统的安全风险达到了前所未有的度。本文详细剖析了Web应用中的常...
10项最严重的 Web 应用程序安全风险
iiiiiiiiiiii9的专栏
01-16 781
https://www.owasp.org/images/b/b7/OWASP_Top_10_2017_%E4%B8%AD%E6%96%87%E7%89%88v1.1.pdf VCG is an automated code security review tool for C++, C#, VB, PHP, Java and PL/SQL which is intended to drasti
浅谈电力系统企业内网网络安全.pdf
08-28
"浅谈电力系统企业内网网络安全.pdf" 电力系统企业内网网络安全是电力系统企业的生命线,它对电力系统的安全运行和信息安全产生了重要影响。《中华人民共和国网络安全法》于2017年6月1日起发布施行了,网络安全已经...
移动安全 - 安全技术资料汇总(共2份).zip
02-06
移动安全是当前IT领域中的一个关键议题,尤其是在智能手机和应用程序(mobile app)广泛普及的今天。这份名为"移动安全 - 安全技术资料汇总(共2份).zip"的压缩包包含了两个重要文档,分别是"mobile app security...
第一届网络安全峰会(2019 哈尔滨) - 安全技术资料汇总(共10份).zip
02-24
- **Web安全**:指的是通过一系列技术和策略来保护Web应用程序免受恶意攻击,如SQL注入、跨站脚本攻击等。 - **信息安全**:是指保护信息不被未经授权的访问、使用、泄露、破坏或修改,涵盖物理安全、逻辑安全和人员...
快速云:web服务器正面临着哪些安全风险
ksy_com的博客
06-01 1242
最常见的安全web服务器有2种,第一种是支持SSL等安全协议的公共web上的服务器,在这种服务器种输入输出的敏感数据都被加密,保护了访问用户的数据安全。第二种。就是用本地网络中的一组员工所用的web服务器,能够抵御住外部威胁。如果想租用到一台足够安全web服务器,挑选中应该考虑全面,还应该不忘实时补充了解发展的安全形势。快速云为大家总结了关于web服务器当下正在面临的风险,供大家参考。web服务器正面临着哪些风险?用户租用web服务器后,不仅需要保护广泛的网络和应用程序外,也必须其他更有效措施保护web
Web安全形势严峻,防御DDoS势在必行,这些必要措施都有吗?
blublu7080的博客
03-31 220
目前还没有人敢说能彻底防御DDoS。Web安全是一个大课题,在网络安全事件中,针对Web的攻击是最多的。DDoS就是流量攻击,最常见也是最难防御的。 由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成DDoS攻击成为最难防御的网络攻击之一。可导致网站宕机、崩溃、内容被篡改,进一步造成用户品牌、财产严重受损。分享几个防御DDoS攻击的方案,希望能帮助到有需要的用户。 一、自主防御: (1)确保采用最新系统,并及时更新打上安全补丁。 (2)定期扫描漏洞,要确保程序软件没有任何漏洞,防止攻击者入侵
web项目中的风险管理
cotlrmpfb90429967的博客
05-31 243
2007-10-16 09:10 作者:杨争 来源:csdn 风险管理是web项目中项目经理最重要的工作之一。风险管理是一个持续的过程,贯穿于整个项目过程中,风险管理包括风险识别、风险估计、风险解决以及风险管理策略。  ...
5大Web应用安全威胁与7大防护措施
ksy_com的博客
07-02 835
由于极其容易出现漏洞、并引发安全事故,因此数据隐私的保护是目前绝大多数企业不可绕过的运维环节。不过,许多中小型企业往往会错误地认为只有大型企业才会成为黑客的目标。而实际统计数字却截然不同:有43%的网络犯罪恰恰是针对小型企业的。而且,无论是系统陈旧且未给漏洞打上安全补丁,还是各种恶意软件,甚至是一些人为的错误,都可以成为系统的受攻击面。 如果仔细观察当前的网络威胁态势,您可能会惊讶地发现,90%的Web应用都可能成为攻击者的潜在目标。因此,为了让应用程序和数据资产免受威胁,各大在线社区(例如OWAS
十二个常见的Web安全漏洞总结及防范措施
A_991128a的博客
07-05 1141
文章部分摘要自《OWASP Top 10 2017》。OWASP,开放式Web应用程序安全项目(Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
WEB项目防范安全风险技术文档
qq_20565329的博客
05-29 1006
安全风险介绍     基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。 解决方案 1. ...
常见web安全隐患及解决方案
jiangfeng08的专栏
09-05 5102
Abstract 有关于WEB服务以及web应用的一些安全隐患总结资料。   1. 常见web安全隐患   1.1.       完全信赖用户提交内容   开发人员决不能相信一个来自外部的数据。不管它来自用户提交表单,文件系统的文件或者环境变量,任何数据都
深度解析 | Web3.0面临的网络安全风险和挑战
最新发布
程序员小芽的博客
10-20 109
互联网发展的下一章是度去中心化的架构,但除了Web2.0的常见风险外,Web3.0也带来了许多新的挑战和威胁。因此,在广泛需求的推动下,就要求Web开发人员和用户必须在上下文中考虑Web 3.0,包括其安全功能和风险
应用程序安全介绍 - 概述.pdf
10-06
Application security is a crucial aspect of cybersecurity, as it focuses on protecting software and applications from potential threats and vulnerabilities. This pdf document provides an overview of ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贤鱼不闲

一分钱也是爱!!!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值