admin 管理员组文章数量: 1184232
2024年3月12日发(作者:异步电机结构与工作原理)
随着用户对客户端便利性的要求,加之服务提供方对减少客户端开辟成本和维护成本
的期望,越来越多的应用已经转为 B/S (浏览器/服务器)结构。由于用户对页面展现效果
和易用性的要求越来越高, Web 2.0 技术的应用越来越广泛,这样非但促进了Web 应用的快
速发展,同时也使 Web 应用中所存在的安全问题越来越明显的暴露出来。
根据 X-Force 的 2022 年年度报告, Web 安全事件数量增长迅猛:
2022 年 Web 安全事件增长
在这种背景条件下,除了越来越多的站点因安全问题而被攻击者攻陷,导致重要信息
泄漏, 甚至成为傀儡主机, 大量傀儡主机被攻击者利用发动 DDOS (分布式拒绝服务攻击) 。
客户端也面临着不少安全问题, 恶意页面的垃圾信息传播、 网页挂马导致的恶意程序的传播
等等。
1.1 什么是 Web 安全评估
Web 安全评估主要在客户的 Web 平台上,针对目前流行的 Web 安全问题分别从外部和内
部进行黑盒和白盒安全评估。
根据 Web 多层面组成的特性,通过对Web 的每一个层面进行评估和综合的关联分析,
从而查找 Web 站点中可能存在的安全问题和安全隐患。
1.2 Web 安全评估与传统评估服务的区别
与传统的系统层面的评估不同, Web 站点的安全评估更加注重“关联性”。
在传统的系统层评估中,评估方向以系统自身安全性和策略的完善程度作为主要的评
估方向,目标仅在于揭露系统配置上的缺陷。
而在 Web 站点评估中,除了需要关注系统层面的安全问题外,还需要关注系统组件及
第三方应用程序设计的安全性。 而在 Web 站点中, 安全问题也再也不像系统安全问题那样只
具 备单一的层面, 而是多个层面叠加产生, 因此 Web 安全评估还需要更加注重各个层面安
全问 题的关联性,将这些问题进行必要的关联分析后来确认Web 站点整体的风险。
从这方面来说,Web 安全评估从人力到技术等各个方面的投入都要大于传统的系统安全
评估,而其所能发掘的问题也是多层面的。
1.3 评估流程
2.1 跨站脚本
跨站脚本攻击全称为 Cross Site Script,普通缩写为 XSS。此漏洞是由于应用程序在
服务器端获取用户提交的数据时, 没有对内容进行验证。 使得攻击者精心构造的恶意脚本在
普通用户的浏览器中得到执行,除了可以窃取其他用户、管理员的Cookie 外,还可以进行
挂马,使得更多的访问者感染恶意代码。在Web 2.0 技术流行的今天,跨站脚本漏洞还有可
能被蠕虫利用,进行大规模的攻击,危害很大。
此类漏洞的根本原因是,开辟人员在编写应用程序时,对用户提交的数据过滤的不够
严格, 或者未过滤。 由于考虑在实际开辟中需要过滤的内容比较多,可能会有遗漏,因此我
版权声明:本文标题:WEB安全评估与防护 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1710251335a564456.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论