web应用安全防范(1)—为什么要重视web应用安全漏洞

现在几乎所有的平台都是依赖于互联网构建核心业务的。 自从XP年代开始windows自带防火墙后，传统的缓冲器溢出等攻击失去了原有威力，黑客们也把更多的目光放在了WEB方面，直到进入WEB2.0后，WEB的安全从WEB后端延伸到Web前端，WEB的安全形势也将越来越严峻。

下图体现了2012与2011年漏洞趋势的对比：

下图体现了2012年漏洞影响对象：

从以上两图可以看出：

近年来，低危漏洞有减少的趋势，同时高危和中危漏洞有所提高，是不是某种情况上来说，黑客们不喜欢搞些小打小闹的出来玩了，更多的是直接来个重量级的？或许是吧。

另外，从2012漏洞影响对象也可以看出，由于操作系统和网络设备以及数据库等问题引起的漏洞已经并不常见，其中更多的是web应用漏洞和应用程序漏洞，这也说明了近几年硬件方面的安全程度有所提升，同时web应用程序的安全问题也提上日程。

从国内比较知名的漏洞提交网--乌云网可以看出，即便是再完美的天空也会有乌云飘过~ 如下图所示：

当然下面我们也看下国内一些知名网站web安全漏洞：

新浪网：

百度：

通过以上两个图，我们也可以清楚的看出：新浪和百度两个互联网大头，在web安全漏洞方面，主要xss跨站脚本攻击，其中新浪中也有不少SQL注入。

常见的web应用安全漏洞，诸如：SQL注入，举个例子来说，我们常见的万能密码（后期会介绍到）等。

传统WEB防火墙，只能针对规则拦截，即针对参数中是否存在某些危险关键字，如：select from，union select 等。但他不知道这个请求是否存在漏洞，什么漏洞？
所以存在过虑不完整，存在绕过，更多的是存在误判，严重影响应用程序的使用。
弱点：知道请求，但不知道漏洞类型

其实说白了，等我们发现一个规则就屏蔽一个规则的话，首先用户体验就不是特别好，比如我名字就叫select，那么你不允许用户输入带有类似单词的字符；而且，我们也不能一直处于被动啊，所以应该也必须有一种更好的方式来处理这种漏洞。

现在黑客常用的攻击方法有：

当然黑客的攻击动机也有很多，

其下是其攻击动机：

恶作剧；
篡改Web网页，损害企业名誉；
黑色产业链，卖给广告联盟黑链，卖给盗号集团流量；
入侵数据库，窃取用户信息；
以用户身份登录执行非法操作，从而获取暴利；
以此为跳板攻击企业内网其他系统；
网页挂木马，攻击访问网页的特定用户群；
仿冒系统发布方，诱骗用户执行危险操作，例如用木马替换正常下载文件，要求用户汇款等；
……

常见的web攻击也有以下一些：

Google hack
网页爬行
暴力猜解
Web漏洞扫描
错误信息利用
根据服务器版本寻找现有的攻击代码
利用服务器配置漏洞
文件上传下载
构造恶意输入（SQL注入攻击、命令注入攻击、跨站脚本攻击）
HTTP协议攻击
拒绝服务攻击
其他攻击点利用（Web Services, Flash, Ajax, ActiveX, JavaApplet）
业务逻辑测试
……