2014第2周三Web安全学习

2014第2周三Web安全学习

先记录下自己关于json和xml作为数据传递媒介的差异：在写一个java方法时我将正确结果返回的对象转成json返回，将错误结果根据不同原因以xml形式返回，同事看后有不少意见，想象也是xml作为接口间数据传递媒介时对这种情况比较容易处理，如果是json也可以为不同类型结果来做，调用接口时先判断结果类型无意外时再做json2object操作。

各种Web应用安全漏洞，诸如:XSS，SQL注入，其实所蕴含安全问题本质往往只有几个。 我个人把Web应用程序安全性本质问题归结以下三个部分：

　　１、输入／输出验证(Input/output validation)

　　２、角色验证或认证(Role authentication )

　　３、所有权验证(Ownership authentication)

 一些权威安全机构对Web安全的层次性的理解，我们通常把它分为三个层次：

　　１、网络安全。如防火墙、路由器、网络结构等相关的安全问题
　　２、系统与服务安全。如Window/Linux/Unix系统本身的漏洞或运行于其上的服务的安全，象Apache/OpenSSL/Weblogic等本身的安全性漏洞

　　３、Web应用程序安全。具体应用程序的安全性漏洞，比如：某网站邮件系统因为存在脚本安全性问题，导致该邮件系统的用户在收到具有恶意代码的邮件时不知不觉的，其密码与帐号信息被人窃取。

以下是这些安全性问题的列表：

　　１、跨站脚本攻击(CSS or XSS, Cross Site Scripting)
　　２、SQL注入攻击(SQL injection)
　　３、远程命令执行(Code execution，个人觉得译成代码执行并不确切)
　　４、目录遍历(Directory traversal)
　　５、文件包含(File inclusion)
　　６、脚本代码暴露(Script source code disclosure)
　　７、Http请求头的额外的回车换行符注入(CRLF injection/HTTP response splitting)
　　８、跨帧脚本攻击(Cross Frame Scripting)
　　９、PHP代码注入(PHP code injection)
　　１０、XPath injection
　　１１、Cookie篡改(Cookie manipulation)
　　１２、URL重定向(URL redirection)
　　１３、Blind SQL/XPath injection for numeric/String inputs
　　１４、Google Hacking

来源： <常见Web应用安全问题(1 - 4)(一) - iwebsecurity（Web安全性）的专栏 - 博客频道 - CSDN.NET>

来自为知笔记(Wiz)