【网络安全篇】浅谈web应用程序的安全风险

news2024/11/25 0:31:45

🏆今日学习目标:
🍀浅谈web应用程序的安全风险
✅创作者:贤鱼
⏰预计时间:25分钟
🎉个人主页:贤鱼的个人主页
🔥专栏系列:网络安全
🍁贤鱼的个人社区,欢迎你的加入 贤鱼摆烂团

我正在参加博客之星评选
希望如果您看到了这里麻烦帮我打个五星好评评论一下谢谢!
https://bbs.csdn.net/topics/611391170?spm=1001.2014.3001.6953
您的认可就是我创作的最大动力
请添加图片描述

web应用程序

  • web应用程序
    • 发展历程
    • 常见功能
    • 优点
  • web应用程序安全问题
    • 问题因素
  • 总结

web应用程序

发展历程

因特网发展的早期阶段,万维网只由Web站点构成,这些站点包含静态文档的信息库
web浏览器的功能就是检索这些文档
这些信息由服务器向浏览器单向传送
在这里插入图片描述

由此可见,所有的用户权限都是相同的,面对的信息也都一样,所以根本不需要验证用户的合法性
攻击者无法从web站点上获取任何的敏感消息
但是这不意味着站点不会受到攻击
有时候攻击者会篡改网页内容或者利用服务器传播"非法软件"

  • 如今的web站点大多数是应用程序,他们包含了各种功能,也可以实现服务器浏览器之间双向信息传输
  • 并且可以满足用户各种的需求
  • 这就代表着现在web站点处理的大多是私密性息,所以安全也变得越发重要

常见功能

现在网站的常见功能主要有以下几点

  • 社交
  • 购物
  • 银行服务
  • 搜索
  • 拍卖
  • 博客
  • 邮件
  • 交互性息
  • 博彩

大多数计算机用户需要的客户端软件只是一个web应用程序,一组共享协议和技术就可以满足各种要求,随之而来的就是各种安全漏洞

优点

  • 流行
    如今web应用程序越来越流行显而易见,同样它越发流行的原因也非常好理解,不仅功能强大并且易于学习
  • 协议变革
    如今访问万维网主要是利用HTTP协议,它无需链接,提供了对通信信息错误的容错性,同时许多传统服务器无需再向用户开放网络连接.HTTP可以通过代理和其他的协议传输实现在任何网络配置下安全通信
  • 用户界面
    web应用程序为浏览器动态部署用户界面,不必像以前分配并独立管理客户端软件
  • 功能强大
    浏览器可以构建丰富并且让人满意的用户界面,web界面使用导航可以让用户快速熟悉这些功能,并且可以使用厚客户端组件任意拓展浏览器功能
  • 方便开发
    web应用程序的核心技术和语言相对简单,可以利用现有平台和开发工具开发出强大的应用程序,并且越来越多的开源代码和其他资源也让学习变得不那么艰难

web应用程序安全问题

安全漏洞也随着web应用程序的发展一起"与时俱进"

随着越来越多应用程序被开发,各种安全漏洞也随之暴露
安全意识的加钱让一些问题得到解决
在这里插入图片描述
对于web程序来说,最严重的攻击就是暴露敏感数据或者获取对程序后端无限访问权限的攻击,对于任何组织和个人来说,导致系统中断的攻击都属于重大事件
通过实施应用程序级拒绝服务攻击,可以达到和针对基础架构的传统资源耗竭的攻击相同的目的
通过这些攻击可以在金融,赌博等领域获得优势

问题因素

针对应用程序的漏洞有很多

  • 不完善的身份验证措施
  • 不完善的访问控制措施
  • 跨站点脚本
  • SQL注入
  • 信息泄露
  • 跨站点请求伪造

在这里插入图片描述

为了保证安全,web程序必须解决一个根本问题
控制客户端输入
由于无法控制客户端,导致可以提交任意输入,就会造成安全问题
当然,多种因素的组合才是让问题更加严重的关键

  • 最主要就是不成熟的安全意识
    即使是经验丰富的web应用程序开发人员也会遇到一些完全陌生的到缺陷类型
  • 欺骗性的简化
    当前web开发程序非常强大,让一个新手也能短时间创建一个强大的应用程序.但是功能性和安全性并不会直接挂钩,使用现成的框架结构等就会让潜在风险大肆传播,如果出现一个漏洞,也能影响到许多无关程序
  • 防御和攻击研究不成熟
    对于这个快速发展的领域,威胁出现速度大大加快,在开发之前就完全了解危险的开发团队,在程序开发完毕也可能遇到许多未知危险
  • 资源时间限制
    小型组织大多数不愿意花大量精力去评估一个新的应用程序,快速渗透测试也只能发现明显的安全漏洞
  • 技术困难
    *现在web应用程序的功能远远超过最初设想,对于要求的变化,开发人员还用原来的技术满足新的要求,也会造成安全漏洞
  • 功能不断增强
    如今面对各种眼花缭乱的功能,上传照片,自定义页面风格,社交,还有找回密码,用户名等都增大了网站的收攻击面
    在这里插入图片描述

总结

随着web应用程序的发展,安全边界也随之变化
web应用程序出现之前主要是网络边界抵御外部攻击,但是现在大部分安全边界更加关注使用的web应用程序
web安全形势也在不断地变化,以往只需要浏览器就能探测和利用漏洞,现在需要非常大的精力和先进技术
尽管web应用程序法神了许多改变,但是传统漏洞并未减少,面对传统和新型漏洞,这些问题任然需要关注

总结一波
当前多数应用程序都面临一个核心安全问题,如何处理用户提交任意输入,对于用户输入无法直观判断善意和恶意的,这个问题不处理应用程序就会面对各种攻击

当前web应用程序安全状况所有证据表明,这个问题未能得到良好解决,不管是对于部署程序组织还是访问用户,针对web应用程序的攻击都是一个严重威胁
请添加图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/126383.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

使用FastJson进行驼峰下划线相互转换写法及误区

PropertyNamingStrategy 有四种序列化方式。 CamelCase策略,Java对象属性:personId,序列化后属性:persionId – 实际只改了首字母 大写变小写 PascalCase策略,Java对象属性:personId,序列化后属…

说透IO多路复用模型

在说IO多路复用模型之前,我们先来大致了解下Linux文件系统。在Linux系统中,不论是你的鼠标,键盘,还是打印机,甚至于连接到本机的socket client端,都是以文件描述符的形式存在于系统中,诸如此类&…

springboot项目打war包 部署到Tomcat

1、SpringBoot项目Pom文件修改 <!-- 打war包配置 --><packaging>war</packaging><!-- 打war包配置 --><plugin><groupId>org.apache.maven.plugins</groupId><artifactId>maven-war-plugin</artifactId><version>…

英美TOP名校对IB的申请要求汇总

英美TOP名校对IB的申请要求汇总 英国大学剑桥大学 IB要求 40-42分&#xff08;满分45&#xff09;&#xff0c;HL要求为776分。 学校可能要求申请者的某些科目成绩为7&#xff0c;视不同专业和学院而定。 对任何要求数学的专业&#xff0c;申请者需选Analysis and Approaches&a…

Google SEM和谷歌SEO的区别

很多人对Google SEM和Google SEO概念很模糊。米贸搜整理如下。看图: Google SEM和SEO的关系 在上图中&#xff0c; 最上面的部分属于Google SEM&#xff0c;即Google Ads广告推广&#xff0c;是一种按效果付费的广告&#xff1b; 底层属于Google SEO&#xff0c;也就是Googl…

前端基础_配置IIS服务器

配置IIS服务器 在应用程序完全离线之前&#xff0c;还需要正确地提供清单文件。清单文件必须有扩展名.manifest和正确的mime-type。 如果使用Apache这样的通用Web服务器&#xff0c;需要找到在AppServ/Apache2.2/conf文件夹中的mine.types文件并向其添加“text/cache-manifes…

React学习02-React面向组件编程

React 开发者工具 推荐使用Chrome或Edge浏览器&#xff0c;安装React Developer Tools&#xff08;Facebook出品&#xff09;。 安装完成后&#xff0c;访问使用React编写的页面时&#xff0c;图标会高亮&#xff08;开发环境为红色有debug标识&#xff0c;生产环境为蓝色&…

如何高效阅读一篇论文

如何阅读一篇论文&#xff08;做好阅读笔记&#xff09;阅读步骤第一遍第二遍第三遍上哪里找论文paperswithcodeconnectedpaperslabml.ai 深度学习论文实现labml.ai 热门研究论文阅读步骤 第一遍 第一次通过的目的是大致了解论文。 阅读作者姓名、标题、摘要、简介、小节标题…

create first django

django-admin startproject first 1. 运行第一个django.py文件 python manage.py runserver 2. 建立第一个app python manage.py startapp first_app 修改settings.py&#xff0c;将first_app加入到下面中 然后修改views.py 然后修改urls.py配置导入view文件 前面是一个正则表达…

一文速学-Pandas处理时间序列数据-时间/日期操作详解

前言 关于Pandas处理时间序列数据我已经有写过两篇处理文章了&#xff1a; 一文速学-Pandas中DataFrame转换为时间格式数据与处理 一文速学-Pandas处理时间序列数据操作详解 日常处理一些数据和业务上需求&#xff0c;其实还是十分常用到时序数据的&#xff0c;一些处理方…

堆排序,建初始堆以及优先队列(priority_queue)

1.堆&#xff1a; 如果有一个关键码的集合K {k0&#xff0c;k1&#xff0c; k2&#xff0c;…&#xff0c;kn-1}&#xff0c;把它的所有元素按完全二叉树的顺序存储方式存储在一个一维数组中&#xff0c;并满足&#xff1a;Ki < K2i1 且 Ki<K2i2 &#xff0c;则称为小堆…

Docker部署jenkins配置公私钥拉取代码

容器内配置公私钥 先进入部署Jenkinns中的容器&#xff0c;在docker容器内生成公私钥 ssh-keygen -t rsajenkins 配置私钥信息 在Dashbord->凭据->系统->全局凭据中新增一个凭据 将公钥配置在gitlab 正常这么配制就可以了&#xff0c;但是在jenkins上发现使用ssh…

如何快速掌握代币经济学

如何研究加密世界里的Token? 先看一组数据&#xff1a;截至2022年&#xff0c;市面上大约有6000种加密货币(或者更多&#xff09;。这对投资者来说当然是一个很大的机会。然而&#xff0c;在2021年&#xff0c;投资者在Crypto项目遇到欺诈&#xff0c;损失的金额120亿美元。因…

2022年河北沃克金属制品有限公司助力河北石家庄电子商务资源对接暨电商直播选品大会圆满落幕!

会议主题&#xff1a;聚合电商直播优势资源 赋能产业发展消费增长 主题活动&#xff1a;2022河北•石家庄电子商务资源对接暨电商直播选品大会 承办日期&#xff1a;2022年12月26日至2022年12月27日 主办单位&#xff1a;石家庄市商务局 指导单位&#xff1a;河北省商务厅 …

基于K8s的DevOps平台实践(一)

文章目录前言1. DevOps介绍&#x1f351; 瀑布式流程&#x1f351; 敏捷开发&#x1f351; DevOps2. Jenkins初体验&#x1f351; K8s环境中部署jenkins&#x1f351; 安装汉化插件3. Jenkins基本使用演示&#x1f351; 演示目标&#x1f351; 演示准备&#x1f351; 演示过程4…

04贪心算法

文章目录背包问题活动安排问题最优装载问题删数问题最优服务次序贪心算法 在对问题求解时&#xff0c;总是做出在当前看来是最好的选择。也就是说&#xff0c;不从整体最优上加以考虑&#xff0c;他所做出的是在某种意义上的局部最优解。 过程&#xff1a; 建立数学模型来描述问…

奖励视频 — Verasity 的最新专利意味着什么?

目录 Verasity 的最新专利涵盖哪些内容&#xff1f; 美国专利审批流程——拒绝和批准 主张我们的专利并寻求许可费 这对 Verasity 意味着什么&#xff1f; 近日&#xff0c;我们宣布Verasity 已在全球最大的广告和媒体市场美国获得奖励视频专利。 该专利及其全部内容可在此…

Vue--》超详细教程——vite脚手架的搭建与使用

目录 vite 创建 vite 项目 目录文件的构成 vite项目的运行流程 开发者工具安装 vite vue官方提供了两种快速创建工程化的SPA项目的方式&#xff0c;一种是基于 vue-cli 创建的SPA项目&#xff0c;另一种就是基于 vite 创建的SPA项目。两者的区别如下&#xff1a; 说明v…

如何在电脑录屏?win10录屏快捷键ctrl+alt+

日常使用的电脑有很多功能未被大家发现&#xff0c;比如可以录制屏幕视频&#xff1b;那如何在电脑录屏&#xff1f;win10电脑录屏有没有什么快捷键可以快速录制&#xff1f;下面就一起和小编来看看win10录屏快捷键是如何在电脑录屏的&#xff0c;有需要的朋友可以去试试看。 一…

观察者模式Observer

1.意图&#xff1a;定义对象间的一种一对多的依赖关系&#xff0c;当一个对象的状态发生改变时&#xff0c;所有依赖于它的对象都得到通知并被自动更新。 2.结构 Subject&#xff08;目标&#xff09;知道它的观察者&#xff0c;可以有任意多个观察者观察同一个目标&#xff1…