金融信息安全实习第四天——Web安全

Web安全

一.Web1.0时代和2.0时代

Web1.0时代——静态页面：html或者htm，是一种静态的页面格式，不需要服务器解析其中的脚本，由浏览器如解析。

Web2.0时代——动态页面：asp、aspx、php、jsp等，由相应的脚本引擎来解释执行，根据指令生成静态网页，在前端使用脚本程序增强交互。

 1.依赖数据库        

 2.灵活性好，维护简便        

 3.交互性好，功能强大       

 4.存在安全风险，例如注入、跨站、上传等攻击

二.Web安全

Web业务平台的不安全性主要是由Web平台的特点，即开放性所致。

根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。

根据世界上权威的Web安全与数据库安全研究组织OWASP提供的报告，目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和XSS跨站脚本攻击。

三.SQL注入

由于程序中对用户输入检查不严格，用户可利用应用程序根据提交的数据动态生成SQL命令的特性，在URL、表单域，或者其他的输入域中输入自己的SQL命令，改变SQL命令的操作，将被修改的SQL命令注入到后端数据库引擎执行。

其成因可以归结为以下两个原因：    

 (1)程序编写者在处理应用程序和数据库交互时，使用字符串拼接的方式构造SQL语句。

 (2)未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。  

最终，用户提交的参数数据未做充分检查过滤即被代入到SQL命令中，改变了原有SQL命令的“语义”，且成功被数据库执行。