WEB應用安全

Web互聯網上有超過800萬網民，100萬個網站，每天交易在網上交易數十億美元。國際經濟依賴于網絡已經成為一種全球性的現象，因為Web郵件，留言板，聊天室，拍賣，購物，新聞，銀行，以及其他基于網絡的軟件已經成為數字化生活的一部分。?今天，用戶可以通過給出姓名，地址，社會安全號碼，信用卡信息，電話號碼，年薪，出生日期，有時甚至是自己喜歡的顏色或他們的幼兒園老師的名字來接收財務報表，稅務，記錄，或當日交易的股票。?我之前有提過超過80%的網站對這些數據的處理存在嚴重的安全風險？即使是最安全的系統也會受到最新安全威脅的困擾。

?

有收集個人信息和私人信息的組織有責任保護它不受窺探。企業榮譽和個人身份危在旦夕。Web應用程序安全一直以來是至關重要的，我們需要考慮得更多。我們正處在身份泄漏，腳本小子的影響和信息被泄漏的煩惱中。新網站推出了電網控制，操作水壩，填寫處方，多數美國企業的工資管理，運行企業網絡，管理等真正的關鍵功能。想象一下，如果這些系統遭受惡意代碼的威脅意味著什么。很難想象，更重要的信息安全領域。Web應用程序的漏洞已經變成最簡單，最直接，或者可以說是最容易被利用來實施***的。

?

Web開發者現在在創建跟web商業相關的應用程序就會考慮到安全性。基礎性軟件的設計理念不得不改變。這種轉變之前，平均款軟件使用的用戶數量相對較少。開放者現在創建的軟件在整個互聯網可接入的ｗｅｂ服務器上為任何人在任何地點提供服務。他們的軟件交付的范圍和幅度已成倍增加，并在這樣做，安全問題也加劇。現在全球數百萬的用戶直接跟服務器打交道，很多人可能是惡意的。新的類型例如跨站腳本，數據庫查詢注入，和一大堆其他新的基于ｗｅｂ的***開始不得不被理解和處理。

?

?

?

?

?

?

web應用程序安全是一個大的話題圍繞很多原則，技術和設計概念。通常，我們關注的是如圖１.1?從web?服務器開始以上的層次。這個包括應用服務器例如：JBoss，IBM?WebSphere，BEA?WebLogic和其他數千種。然后我們進入商業和開源web應用程序例如PHP?Nuke，微軟OWA，和SAP。最后是開發者他們自定義的內部程序。這是web應用安全的整個結構。

?

圖1-1?漏洞棧

?

?

Web應用開發者必須理解和知道如何防御的最大威脅之一就是XSS***。盡管XSS在web應用安全領域是相對小的一塊內容，但是對互聯網用戶來，他可能是最危險的。Web應用的一個簡單bug可能導致***者盜取暑假，接管用戶的瀏覽體驗等。

?

具有諷刺意味的是，具有諷刺意味的是，很多人不理解XSS漏洞的危險，以及他們如何可以經常被用來***受害者。這本書主要目的是通過一系列討論，例子和闡述XSS能在現實生活中造成的威脅和影響來教育讀者。

?

直到最近，每個人還認為防火墻，SSL，***檢測系統，網絡掃描儀和密碼是網絡安全的答案。安全專家借用一個最基本的軍事理論來保護你所擁有的，就是設立一個周長。這個意思就是允許好人進來和把壞人攔截在外面。大部分這個策略是有效的，直到web和電子商務永遠改變了這個策略。電子商務要求防火墻放行80端口和443端口的流量。本質上就意味著你不得不將你暴露在整個互聯網中。似乎一夜之間整個移動互聯網從薄壁網絡到全球性商業集市。周長和安全管理員發現他們已經沒有任何方法來應對web應用程序的安全。

轉載于:https://blog.51cto.com/wzhj132/786049

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的【web安全】Xss Exploits and Defense翻译2的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。