Web应用程序安全与风险
一、Web应用程序安全与风险
更多渗透测试相关内容请关注此地址:https://blog.csdn.net/weixin_45380284
1.web发展历程
静态内容阶段(HTML)
CGI程序阶段(增加了APA接口,可以动态)
脚本语言阶段(ASP,PHP,JSP等)
瘦客户端应用阶段(独立于WEB服务器的应用服务器)
RIA应用阶段(DHTML+AJAX可以不用刷新功能内容可变)
移动WEB应用阶段(安卓。Ios )
2.常见的WEB应用程序漏洞
跨站脚本漏洞
弱口令漏洞
SQL注入漏洞
密码重用漏洞
任意文件上传漏洞
密码泄露
远程代码执行漏洞
源代码信息泄露
任意文件下载漏洞
存在入侵痕迹
越权访问
登陆可暴力猜解漏洞
旁注漏洞
文件任意写入漏洞
……
3.核心安全问题和因素
1.核心的安全问题:
用户可向服务器端应用提交任意输入
2.关键问题因素
不成熟的安全意识
独立开发
欺骗性的简化
迅速发展的威胁形势
资源与时间限制
技术上强其所难
对功能需求不对增强
3.新的安全边界
安全边界向用户端转移
在web应用程序出现之前
主要在网络边界上抵御外部攻击,保护这个边界需要对其提供服务进行强化打补丁,设置防火墙。
在web应用程序出现之后
用户要访问应用程序,边界防火墙一定要允许其通过HTTP/HTTPS连接内部服务器,应用程序要实现其功能,必须允许其连接服务器来支持后端系统、数据库、大型主机、金融与后勤系统。
如果存在漏洞,只要提交专门设计的数据就可以公婆组织的核心后端系统,这些数据就像正常,良性数据流一样,穿透组织的所有防御
所以要在应用程序内部执行防御措施 第三方小部件、以及很多跨域集成技术,让服务器端的安全边界跨越了组织本身的边界。
小结
应用程序使用SSL仅仅表示网络其他用户无法查看修改攻击者传送的数据
SSL无法阻止攻击者向服务器提交专门设计的输入
攻击者控制着SSL通道终端,可以向服务器发任何内容
4.做一个有良心的白帽子
1、腾讯http://security. tencent. com
2、网易http://aq. 163. com
3、京东http://security. jd. com
4、百度http/sec. baidu. com
5、补天https://www. but ian. net/
6、漏洞银行https://www. bugbank. cn
7、Sebug http://sebug. net/
8.、freebuf http://www. freebuf. com/
9、wooyun 镜像http://www.anquan.us
10、全球黑客攻防学习站点https://link-base.org
攻防学习网址导航
1、安全圈https://www.anquanquan.info/
HACKED SAFE
Hacked safe
众测平台:
漏洞盒子:www.vulbox.com
CNVD众测平台:http://zc.cnvd.org.cn
5.渗透测试基本流程
渗透测试流程
0.授权
1.信息收集
2.扫描漏洞
3.漏洞利用
4.提权
窃取信息
毁尸灭迹
留后门
5.渗透测试报告
Web应用程序安全与风险的更多相关文章
- 转:OWASP发布Web应用程序的十大安全风险
Open Web Application Security Project(OWASP)是世界范围内的非盈利组织,关注于提高软件的安全性.它们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险 ...
- 渗透测试的理论部分4——开放式Web应用程序安全项目
开放式Web应用程序安全项目(Open Web Application Security Project OWASP) 定期退出Top 10 project(排名前十的安全隐患防守规则) 公开了编写安 ...
- 如何将常规的web 应用程序转化为云上多租户 SaaS 解决方案
如何将web 应用程序转化为多租户 SaaS 解决方案 https://www.ibm.com/developerworks/cn/cloud/library/cl-multitenantsaas/i ...
- web 应用程序转化为多租户 SaaS 解决方案
web 应用程序转化为多租户 SaaS 解决方案 https://www.ibm.com/developerworks/cn/cloud/library/cl-multitenantsaas/inde ...
- 玩转Django2.0---Django笔记建站基础十(二)(常用的Web应用程序)
10.3 CSRF防护 CSRF(跨站请求伪造)也成为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用,窃取网站的用户信息来制作 ...
- 最常见的安全漏洞– Acunetix Web应用程序漏洞报告2021
每年,Acunetix都会为您提供最常见的Web安全漏洞和网络外围漏洞的分析.我们的年度Web应用程序漏洞报告(现已成为Invicti AppSec指标的一部分)是基于从Acunetix在线获得的真实 ...
- ASP.NET Core 中文文档 第二章 指南(3)用 Visual Studio 发布一个 Azure 云 Web 应用程序
原文:Getting Started 作者:Rick Anderson 翻译:谢炀(Kiler) 校对:孟帅洋(书缘).刘怡(AlexLEWIS).何镇汐 设置开发环境 安装最新版本的 Azure S ...
- vs2012 发布web应用程序
Visual Studio 2012 Visual Studio Express 2012 for Web 与 的Visual Studio 2010 Visual Studio Web发布更新 与 ...
- web应用程序
1.web应用程序和网站的区别 应用程序有两种模式C/S.B/S.C/S是客户端/服务器端程序,也就是说这类程序一般独立运行.而B/S就是浏览器端/服务器端应用程序,这类应用程序一般借助IE等浏览器来 ...
随机推荐
- npm 更换镜像,解决cnpm仍然太慢的问题
众所周知,npm官方镜像 https://registry.npmjs.org 极为卡顿,所以考虑换国内镜像. 网上很多人都说用淘宝镜像,但是淘宝镜像由于同步过于频繁导致卡顿. 可以使用华为镜像: n ...
- 实战:IDEA运行速度调优
序言 可能大家觉得系统调优一般都是针对服务端应用而言的,普通Java开发人员很少有机会实践.今天就通用一个Java开发人员日常工作中经常使用的开发工具开做一次调优实战. 我在日常工作中的主要IDE工具 ...
- Cannot resolve symbol window
参照官网执行如下代码的时候,报了Cannot resolve symbol window错误. val windowedCounts = words.groupBy( window($"ti ...
- 且谈 Apache Spark 的 API 三剑客:RDD、DataFrame 和 Dataset
作者:Jules S. Damji 译者:足下 本文翻译自 A Tale of Three Apache Spark APIs: RDDs, DataFrames, and Datasets ,翻译已 ...
- Orleans 框架3.0 官方文档中文版系列一 —— 概述
关于这个翻译文档的一些说明: 之前逛博客园的时候,看见有个园友在自己的博客上介绍Orleans. 觉得Orleans 是个好东西. 当时心想:如果后面有业务需要的时候可以用用Orleans框架. 当真 ...
- LINUX 下 一些常用的信息显示命令:
tcsh——shell程序,它可以在登录shell和shell 脚本命令处理器之间做命令语言解释器.stat——显示指定文件的相关信息who.w——显示在线登陆用户whoami——显示用户自己的身份h ...
- Vmware - 安装并启动 Centos 8
下载 Linux 安装包 https://mirrors.aliyun.com/centos/8.1.1911/isos/x86_64/ 不同版本的 Centos https://mirrors.al ...
- List AND Set
第二章 List集合 Collection中的常用几个子类(java.util.List集合.java.util.Set集合). 1.1 List接口介绍 java.util.List接口继承自Col ...
- Yarn的安装和全局配置(源/缓存位置/全局安装位置)
本文安装环境: Win10 64位 前置条件: 已安装好Node环境(参考Node安装与环境配置) 下载和安装 Yarn安装包下载地址 全局配置 控制台输入命令, 正常显示版本表示安装成功 $ yar ...
- Windows高DPI系列控件(二) - 柱状图
目录 一.QCP 二.效果展示 三.高DPI适配 1.自定义柱状图 2.新的柱状图 3.测试代码 四.相关文章 原文链接:Windows高DPI系列控件(二) - 柱状图 一.QCP QCP全称QCu ...