Web
web应用程序可能是互联网上公司和机构暴露的最常见的服务; 此外,大多数旧应用程序现在都有一个“web版”可供浏览器使用。这种巨大的转变使网络安全成为网络安全的重要组成部分。
web的安全模型
web安全模型的基础非常简单:不要相信客户端。服务器收到的大部分信息都可能被客户欺骗。宁可安全,不要抱歉; 最好过滤和逃避一切,而不是稍后意识到你认为不是用户控制的值。
web安全风险
Web应用程序存在正常应用程序的所有风险:
- 妥协
- 信息泄露
- 声誉损害
- 信息丢失
- 金钱损失
web技术
建筑
大多数Web应用程序依赖于3个组件:
- 客户端:大多数情况下是网页浏览器。
- 将接收来自客户端的请求的Web服务器。应用程序服务器可以参与处理请求; 在这种情况下,Web服务器只会将请求转发给应用程序服务器。
- 存储后端检索并保存信息,通常是数据库。
所有这些组件可能具有不同的行为,这些行为将影响漏洞的存在和利用。所有这些组件也可能存在漏洞或安全问题。
客户端技术
大多数客户端技术每天都被大多数互联网用户使用:HTML,JavaScript,Flash …通过他们的浏览器(Chromium,Firefox,Internet Explorer,Safari …)。但是,Web应用程序的客户端也可以是连接到Web服务或仅脚本的胖客户端。
服务器端技术
在服务器端可以使用很多技术,即使所有技术都可能容易受到任何web问题的影响,但对于给定的技术来说,更可能发生一些问题。
服务器端可以分为更多的子类别:
- Web服务器,如Apache,lighttpd,Nginx,IIS …
- 应用服务器,如Tomcat,Jboss,Oracle应用服务器……
- 使用的编程语言:PHP,Java,Ruby,Python,ASP,C#……这种编程语言也可以用作Ruby-on-Rails,.Net MVC,Django等框架的一部分。
存储后端
存储后端可以位于与Web服务器相同的服务器上,也可以位于不同的服务器上。这可以解释在利用某些漏洞期间的怪异行为。
后端的一些例子是:
- 简单的文件。
- 关系数据库如Mysql,Oracle,SQL Server,PostgreSQL。
- 其他数据库,如MongoDB,CouchDB。
- 目录像openLDAP或Active Directory。
应用程序可以使用多个存储后端。例如,某些应用程序使用LDAP来存储用户及其凭据,并使用Oracle来存储信息。
