Web应用程序安全与风险
一、Web应用程序安全与风险
更多渗透测试相关内容请关注此地址:https://blog.csdn.net/weixin_45380284
1.web发展历程
静态内容阶段(HTML)
CGI程序阶段(增加了APA接口,可以动态)
脚本语言阶段(ASP,PHP,JSP等)
瘦客户端应用阶段(独立于WEB服务器的应用服务器)
RIA应用阶段(DHTML+AJAX可以不用刷新功能内容可变)
移动WEB应用阶段(安卓。Ios )
2.常见的WEB应用程序漏洞
跨站脚本漏洞
弱口令漏洞
SQL注入漏洞
密码重用漏洞
任意文件上传漏洞
密码泄露
远程代码执行漏洞
源代码信息泄露
任意文件下载漏洞
存在入侵痕迹
越权访问
登陆可暴力猜解漏洞
旁注漏洞
文件任意写入漏洞
……
3.核心安全问题和因素
1.核心的安全问题:
用户可向服务器端应用提交任意输入
2.关键问题因素
不成熟的安全意识
独立开发
欺骗性的简化
迅速发展的威胁形势
资源与时间限制
技术上强其所难
对功能需求不对增强
3.新的安全边界
安全边界向用户端转移
在web应用程序出现之前
主要在网络边界上抵御外部攻击,保护这个边界需要对其提供服务进行强化打补丁,设置防火墙。
在web应用程序出现之后
用户要访问应用程序,边界防火墙一定要允许其通过HTTP/HTTPS连接内部服务器,应用程序要实现其功能,必须允许其连接服务器来支持后端系统、数据库、大型主机、金融与后勤系统。
如果存在漏洞,只要提交专门设计的数据就可以公婆组织的核心后端系统,这些数据就像正常,良性数据流一样,穿透组织的所有防御
所以要在应用程序内部执行防御措施 第三方小部件、以及很多跨域集成技术,让服务器端的安全边界跨越了组织本身的边界。
小结
应用程序使用SSL仅仅表示网络其他用户无法查看修改攻击者传送的数据
SSL无法阻止攻击者向服务器提交专门设计的输入
攻击者控制着SSL通道终端,可以向服务器发任何内容
4.做一个有良心的白帽子
1、腾讯http://security. tencent. com
2、网易http://aq. 163. com
3、京东http://security. jd. com
4、百度http/sec. baidu. com
5、补天https://www. but ian. net/
6、漏洞银行https://www. bugbank. cn
7、Sebug http://sebug. net/
8.、freebuf http://www. freebuf. com/
9、wooyun 镜像http://www.anquan.us
10、全球黑客攻防学习站点https://link-base.org
攻防学习网址导航
1、安全圈https://www.anquanquan.info/
HACKED SAFE
Hacked safe
众测平台:
漏洞盒子:www.vulbox.com
CNVD众测平台:http://zc.cnvd.org.cn
5.渗透测试基本流程
渗透测试流程
0.授权
1.信息收集
2.扫描漏洞
3.漏洞利用
4.提权
窃取信息
毁尸灭迹
留后门
5.渗透测试报告
Web应用程序安全与风险的更多相关文章
- 转:OWASP发布Web应用程序的十大安全风险
Open Web Application Security Project(OWASP)是世界范围内的非盈利组织,关注于提高软件的安全性.它们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险 ...
- 渗透测试的理论部分4——开放式Web应用程序安全项目
开放式Web应用程序安全项目(Open Web Application Security Project OWASP) 定期退出Top 10 project(排名前十的安全隐患防守规则) 公开了编写安 ...
- 如何将常规的web 应用程序转化为云上多租户 SaaS 解决方案
如何将web 应用程序转化为多租户 SaaS 解决方案 https://www.ibm.com/developerworks/cn/cloud/library/cl-multitenantsaas/i ...
- web 应用程序转化为多租户 SaaS 解决方案
web 应用程序转化为多租户 SaaS 解决方案 https://www.ibm.com/developerworks/cn/cloud/library/cl-multitenantsaas/inde ...
- 玩转Django2.0---Django笔记建站基础十(二)(常用的Web应用程序)
10.3 CSRF防护 CSRF(跨站请求伪造)也成为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用,窃取网站的用户信息来制作 ...
- 最常见的安全漏洞– Acunetix Web应用程序漏洞报告2021
每年,Acunetix都会为您提供最常见的Web安全漏洞和网络外围漏洞的分析.我们的年度Web应用程序漏洞报告(现已成为Invicti AppSec指标的一部分)是基于从Acunetix在线获得的真实 ...
- ASP.NET Core 中文文档 第二章 指南(3)用 Visual Studio 发布一个 Azure 云 Web 应用程序
原文:Getting Started 作者:Rick Anderson 翻译:谢炀(Kiler) 校对:孟帅洋(书缘).刘怡(AlexLEWIS).何镇汐 设置开发环境 安装最新版本的 Azure S ...
- vs2012 发布web应用程序
Visual Studio 2012 Visual Studio Express 2012 for Web 与 的Visual Studio 2010 Visual Studio Web发布更新 与 ...
- web应用程序
1.web应用程序和网站的区别 应用程序有两种模式C/S.B/S.C/S是客户端/服务器端程序,也就是说这类程序一般独立运行.而B/S就是浏览器端/服务器端应用程序,这类应用程序一般借助IE等浏览器来 ...
随机推荐
- Rigidbody(刚体)方法的初步学习(一)
概要:这次将简单的了解Rigidbody中的各种方法属性,以官方的API为顺序研究. 蛮牛API翻译:Rigidbody组件控制物体的位置—它使物体在重力影响下下落,并可计算物体将怎样响应碰撞.当操作 ...
- C#数据结构与算法系列(十):中缀表达式转后缀表达式
1.具体步骤 1)初始化两个栈:运算符栈s1和储存中间结果的栈s2:2)从左至右扫描中缀表达式:3)遇到操作数时,将其压s2:4)遇到运算符时,比较其与s1栈顶运算符的优先级: (1)如果s1 ...
- 深入理解JVM(③)虚拟机性能监控、故障处理工具
前言 JDK的bin目录中有一系列的小工具,除了java.exe.javac.exe这两个编译和运行Java程序外,还有打包.部署.签名.调试.监控.运维等各种场景都会用到这些小工具. 这些工具根据软 ...
- (一)、Java内存模型
简述 Java虚拟机规范中试图定义一种Java内存模型(Java Memory Model,JMM),来屏蔽掉各种硬件和操作系统的内存访问差异,以实现让Java程序在各种平台下都能达到一致的内存访问效 ...
- 浅析Java中Ant的使用
Ant是一种基于Java的打包工具,Ant脚本采用XML格式编写,默认的文件名为build.xml. Ant中常用的节点元素 Project Project是项目工程的顶级节点,一个build. ...
- ECSHOP 2.5.1 二次开发文档【文件结构说明和数据库表分析】
ecshop文件架构说明 /* ECShop 2.5.1 的结构图及各文件相应功能介绍 ECShop2.5.1_Beta upload 的目录 ┣ activity.php 活动列表 ┣ affich ...
- IDEA2019版中文汉化包
废话不多说,上才艺 E G M~~~~~ 2020版的IDEA大佬可以无视........ 1.打开IDEA文件目录 2.打开lib目录--将汉化版复制到该目录下 3.打开IDEA查看效果 高铁链 ...
- 呼~~~~--历时几个星期终于搞好了HTTPS协议---阿里云
打开网站加入阿里云官网 https://yundun.console.aliyun.com/?p=cas#/overview/cn-hangzhou 登陆查看自己的证书 没有点击购买证书 -- 选中对 ...
- linux下将多个ts文件合并为一个MP4文件
1. 安装ffmpeg工具 sudo apt install ffmpeg 2. 确保所有ts文件无损坏后,确保当前目录(即存放ts文件的目录)无txt文件及mp4文件,在存放ts文件的目录下建立te ...
- 为什么 group by后面 必须跟selecte 后面的除了聚集函数外的所有字段
如:SELECT store_name, SUM(Sales) FROM Store_Information GROUP BY store_name 可以而SELECT store_name, add ...