🏆今日学习目标:
🍀浅谈web应用程序的安全风险
✅创作者:贤鱼
⏰预计时间:25分钟
🎉个人主页:贤鱼的个人主页
🔥专栏系列:网络安全
🍁贤鱼的个人社区,欢迎你的加入 贤鱼摆烂团
我正在参加博客之星评选
希望如果您看到了这里麻烦帮我打个五星好评评论一下谢谢!
https://bbs.csdn.net/topics/611391170?spm=1001.2014.3001.6953
您的认可就是我创作的最大动力
web应用程序
- web应用程序
- 发展历程
- 常见功能
- 优点
- web应用程序安全问题
- 问题因素
- 总结
web应用程序
发展历程
因特网发展的早期阶段,万维网只由Web站点构成
,这些站点包含静态文档的信息库
web浏览器
的功能就是检索这些文档
这些信息由服务器向浏览器单向传送
由此可见,所有的
用户权限都是相同的,面对的信息也都一样
,所以根本不需要验证用户的合法性
攻击者无法
从web站点上获取任何的敏感消息
但是这不意味
着站点不会受到攻击
有时候攻击者会篡改网页内容或者利用服务器传播"非法软件"
- 如今的web站点大多数是
应用程序
,他们包含了各种功能,也可以实现服务器浏览器之间双向信息传输
- 并且可以满足用户各种的需求
- 这就代表着现在web站点处理的大多是私密性息,所以安全也变得越发重要
常见功能
现在网站的常见功能主要有以下几点
- 社交
- 购物
- 银行服务
- 搜索
- 拍卖
- 博客
- 邮件
- 交互性息
- 博彩
大多数计算机用户需要的客户端软件只是一个web应用程序
,一组共享协议和技术就可以满足各种要求,随之而来的就是各种安全漏洞
优点
- 流行
如今web应用程序越来越流行显而易见,同样它越发流行的原因也非常好理解,不仅功能强大并且易于学习 - 协议变革
如今访问万维网主要是利用HTTP协议
,它无需链接
,提供了对通信信息错误的容错性
,同时许多传统服务器无需再向用户开放网络连接.HTTP可以通过代理和其他的协议传输实现在任何网络配置下安全通信
- 用户界面
web应用程序为浏览器动态部署用户界面
,不必像以前分配并独立管理客户端软件 - 功能强大
浏览器可以构建丰富并且让人满意的用户界面,web界面使用导航可以让用户快速熟悉这些功能
,并且可以使用厚客户端组件任意拓展浏览器功能
- 方便开发
web应用程序的核心技术和语言相对简单,可以利用现有平台和开发工具开发出强大的应用程序,并且越来越多的开源代码和其他资源也让学习变得不那么艰难
web应用程序安全问题
安全漏洞也随着web应用程序的发展一起"与时俱进"
随着越来越多应用程序被开发,各种安全漏洞也随之暴露
安全意识的加钱让一些问题得到解决
对于web程序来说,最严重的攻击就是暴露敏感数据
或者获取对程序后端无限访问权限的攻击
,对于任何组织和个人来说,导致系统中断的攻击都属于重大事件
通过实施应用程序级拒绝服务攻击,可以达到和针对基础架构的传统资源耗竭
的攻击相同的目的
通过这些攻击可以在金融,赌博等领域获得优势
问题因素
针对应用程序的漏洞有很多
- 不完善的身份验证措施
- 不完善的访问控制措施
- 跨站点脚本
- SQL注入
- 信息泄露
- 跨站点请求伪造
为了保证安全,web程序必须解决一个根本问题
控制客户端输入
由于无法控制客户端,导致可以提交任意输入,就会造成安全问题
当然,多种因素的组合才是让问题更加严重的关键
- 最主要就是不成熟的安全意识
即使是经验丰富的web应用程序开发人员也会遇到一些完全陌生的到缺陷类型
- 欺骗性的简化
当前web开发程序非常强大,让一个新手也能短时间创建一个强大的应用程序.但是功能性和安全性并不会直接挂钩
,使用现成的框架结构
等就会让潜在风险大肆传播
,如果出现一个漏洞,也能影响到许多无关程序
- 防御和攻击研究不成熟
对于这个快速发展的领域,威胁出现速度大大加快,在开发之前就完全了解危险的开发团队,在程序开发完毕也可能遇到许多未知危险 - 资源时间限制
小型组织大多数不愿意花大量精力去评估一个新的应用程序,快速渗透测试也只能发现明显的安全漏洞 - 技术困难
*现在web应用程序的功能远远超过最初设想
,对于要求的变化,开发人员还用原来的技术满足新的要求,也会造成安全漏洞 - 功能不断增强
如今面对各种眼花缭乱的功能,上传照片,自定义页面风格,社交,还有找回密码,用户名等都增大了网站的收攻击面
总结
随着web应用程序的发展,安全边界也随之变化
web应用程序出现之前主要是网络边界抵御外部攻击,但是现在大部分安全边界更加关注使用的web应用程序
web安全形势也在不断地变化,以往只需要浏览器就能探测和利用漏洞,现在需要非常大的精力和先进技术
尽管web应用程序法神了许多改变,但是传统漏洞并未减少,面对传统和新型漏洞,这些问题任然需要关注
总结一波
当前多数应用程序都面临一个核心安全问题,如何处理用户提交任意输入,对于用户输入无法直观判断善意和恶意的,这个问题不处理应用程序就会面对各种攻击
当前web应用程序安全状况所有证据表明,这个问题未能得到良好解决,不管是对于部署程序组织还是访问用户,针对web应用程序的攻击都是一个严重威胁