写在本系列文章开始之前,以下几段文字大家可以把它当作废话略过:
以前在开发Web Application的时候也多多少少注意过安全相关的东西,但是仅仅是属于有所涉及,或走走形式草草收工,不明白为什么要关注WebApplication的安全以及到底要关注到什么程度,产品的安全性才能算是达到一个比较合理的程度。
在之前的很长一段时间里,我对于Web Application Security并没有做过深入研究,也没有认识到Web Security的重要性,直到后来连续听了Joey的几堂Web Security的Training之后,才对Web Application Security有了较为深刻的理解及认识。虽然对Web Application Security有了些认识,不过个人觉得,我现在还停留在比较低级的阶段,在Web Application Security这个方向上仍然还有很长一段路要走。
当我开始学习Web Application Security方面的知识时,我发现这方面的资料少之又少,而且还非常凌乱。在接触了Web Application Security一段时间后,我也多多少少积累下了一些经验,为了和大家共同分享我的经验,也为了总结一下我所学的Web Application Security相关的知识,于是便有了写一个关于Web Application Security系列文章的想法。
在正文开始前,我想先在此感谢Joey给我们做的Web Application Security的Training。
OK,废话到此结束,正文开始。
我们为什么要关注Web Application Security?
这个问题回答起来既简单,又很困难。为了让我们的Web Application更加安全、稳定、可靠,为了保护用户的资料安全,为了避免企业的财产受到损失,为了避免企业形象受到破坏,为了许多许多东西,我们不得不关注Web Application Security。
试想一下,假如一个网上银行由于Web Application Security没有做好而泄漏了用户的登录名及密码等信息,后果将不堪设想。假如一家企业的主页被黑客篡改,这将对该企业的声誉造成多大的破坏?假如企业的业务系统被黑客破坏,从而影响到企业业务的正常开展,这又将造成多大的经济损失?
各种各样的情况都不允许我们的Application在安全方面出现任何问题。安全问题没有暴露出来的时候,我们的产品看起来非常棒,几乎完美无暇,但是一旦发生安全事故,轻则程序出错,重则导致企业巨额财产损失,甚至倒闭。
什么是Web Application Security?
说实话,我也不清楚Web Application Security的详细、具体、严格的定义是什么,但是我可以给大家一个大致的概念:Web Application Security是指通过HTTP、HTTPS等网络协议进行通信的网络应用程序。限于我刚刚进入Web Application Security领域,学识有限,本系列文章暂时只关注与HTTP、HTTPS有关的Web Application Security。欢迎各位共同交流Web Application Security的方方面面。
Web Application Security的现状不容乐观
我以为大公司、大企业在Web Application Security方面会非常重视,但是事实证明我错了,大公司、大企业在网络安全(Network Security)方面确实舍得投入,也非常重视,但是在网络应用程序安全(Web Application Security)方面依然还有盲区。
比如大名鼎鼎的百度,在用户登录界面中就存在安全漏洞:不恰当的错误提示,从而间接地帮助黑客盗取用户帐号,威胁用户信息安全。如下图所示:
(图1-在百度的登陆页面中,随便输入一个用户名及密码后,点击登录按钮,百度会提示说“用户×××不存在”。)
(图2-在百度的登陆页面中,输入一个存在的用户名,然后乱输入一个密码,点击登录按钮,百度会提示说“登陆密码错误,请重新输入”。)
相信稍微有些安全常识的人都会知道,这样的错误提示是不恰当的,这等同于告诉黑客”baidu”这个帐号是存在的,只是密码错误了。像百度这样的错误提示是非常不恰当的,最合理的做法应该是:只要用户输入的用户名及密码不匹配,提示的错误信息一定要说“用户名或密码错误”或者类似的提示信息。
让人心寒的是,在互联网上,这样的安全漏洞比比皆是。
Web Application Security的未来
未来总是美好的。虽然Web Application Security是一个比较新的领域(我个人觉得当前的Web Application Security领域的现状有点类似于Test领域刚刚萌芽时的情况),虽然Web Application Security充满了各种挑战,但是有一点是毋庸置疑的:Web Application Security在将来必然会受到越来越多的关注。
本节结束语
这篇文章是Web Application Security系列的第一篇文章,只是稍微讲了讲Web Application Security的皮毛,没有深入进去,当然,讲的废话比较多,还请各位观众原谅。
在下一篇文章中,我将和大家分享Web Application Security的更加实质性的东西,敬请期待,谢谢。
原文链接:https://www.cnblogs.com/shineforyou/archive/2009/04/22/1440885.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18511