Web应用程序安全与风险

  • A+
所属分类:安全闲碎

学习打卡计划也持续了一个多月了,目前已经有十八位同学参与了学习并做了分享,详情如下:

Web应用程序安全与风险

从今日起,每周五我会将自己的学习心得总结出来进行分享,并将最新的打卡排行榜进行公布,希望大家能够榜上有名,更能通过这种方式来激励大家的学习,达到成长的目的,本次分享《黑客攻防技术宝典 web 实战篇》的第一章学习心得,详细内容请阅读书籍。

打卡一:P42-46

这几页的内容主要讲 web 应用程序的发展历程以及 web 应用可以做什么,比如:购物、社交、银行服务、搜索、拍卖、博彩、博客、邮件、wiki 等,除了对外服务,还可以支持公司内部的关键业务,比如:人事系统、内部邮件服务、文档共享、ERP 系统等。

使用它的优点包括:轻量级、默认安装浏览器、用户界面优秀、核心技术和语言简单。

这部分的内容主要是让我们了解 web 应用的前世今生,也就是它的重要性,如果不重要,也不会这么多人使用,我们也没有必要花大力气去学习它,这里不涉及太多技术内容,主要是以科普为主,可以快速阅读。

打卡二:P47-55

这几页主要讲了 web 安全的现状和挑战,随着 web 应用程序的功能不断丰富,安全问题也跟着增加,浏览器作为客户端也在不断提升安全性,解决一些安全问题。

对于大众而言,比较关注的更多是获取敏感数据和系统权限,而对于公司而言,任何可以导致系统中断的事件都是大事件,对于大企业而言,这种故障是非常严重的,任何影响正常使用的故障都是需要有人来负责的,非常严格。

网站使用 https 可以解决数据传输方面的安全问题(包括机密性和完整性),但是无法解决所有的 web 应用安全方面的问题,比如:跨站、注入、越权、信息泄漏等。

对于 web 应用来说,安全问题来源是用户的自定义输入,所以对于用户的输入都要做严格的检查,默认不信任任意用户的输入包括浏览器端携带的一切信息,这个问题体现在多个方面,比如:

1、用户可以伪造浏览器和服务器间传输的所有数据,包括请求的参数、cookie、http 信息头

2、对于一个操作的多次请求,用户可以任意调整顺序进行请求,并且不止一次提交任意请求

3、用户不止可以使用浏览器进行访问,还可以使用各种工具,比如 burp、finder 这种独立的工具,还有各种浏览器的插件

4、修改表单中的数字,用低价购买商品;替换 cookie 中的令牌达到越权的目的;利用逻辑问题绕过验证;修改参数被带入数据库中查询获取敏感数据等

核心的安全问题就是因为对于恶意的输入没有做有效的验证,毕竟做验证是要增加研发的工作量的,谁也不想做额外的工作承担项目延期的风险,这是根本问题。以下都有可能造成这个安全问题的产生:

1、安全意识不足:随着国内外对于应用安全这块的关注,各种成熟的第三方安全类库,各种安全培训的介入,研发的安全意识在不断加强,现在新的应用系统中很明显的安全问题已经非常少见,但是也不乏很多安全意识不足,开发能力欠缺的人在开发的一线,生产有安全问题的代码,这是很难杜绝的,毕竟每个人的水平都不一样。

2、自主研发:对于开源系统和组件,其安全性经过大量人员的审计和使用还是比较优秀的,对于企业自主研发的 web 应用,其安全问题都是自己特有的,在欠缺有效的安全培训、上线前安全检查的话,存在安全问题的可能性会大大提升。

3、通用安全组件:为了加快研发进度,很多程序员都喜欢用公开的类库,比如 fastjson,这个组件可以说咱们安全从业者的衣食父母,出现过非常多的漏洞,而且应用广泛,对安全在企业的知名度提升起到了非常卓越的贡献。

4、新的威胁:目前对于已知风险能够作出很好防御,但是对于未知威胁,没人知道会出现在什么地方,以什么样的方式出现。

5、资源和时间的限制:对于研发来说,提前会把项目的周期定好,时间和资源是有限的,要在有限的资源情况下,尽快完成项目目标,所以程序员们一定是会选择减少安全上投入的时间来赶工期,对于一些不太严重的安全问题会做暂时忽略处理,以尽快上线为主要目标。

6、技术更新太快:互联网是个高速发展的行业,十年间,有些技术已经落后甚至淘汰,新的技术层出不穷,程序员本身在开发技术上跟上时代的发展已经非常艰难,更别说各种安全漏洞和利用方式的更新换代,这也是安全问题出现的一个重要因素。

7、功能不断更新换代:随着 web 技术的发展,应用的功能在不断的更新,从静态网页的时代,到现在 API 化,为了提升用户的使用体验,不断简化用户的操作,比如记住密码、认证提示,对于用户而言是提升了用户体验,同时也增加了攻击面。

第一章的内容基本结束,主要给大家一个整体的概况,让大家对 web 安全有一个大体的认识,结合书中的内容已经我多年的经验,选择重点内容做了重述,希望可以对大家有所帮助,喜欢这种学习模式的同学也可以加入我们,希望下次榜单能有你的身影。

Web应用程序安全与风险

本文始发于微信公众号(信安之路):Web应用程序安全与风险

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: