Web安全本质上, 是与各种“有问题”的Web程序打交道。
Web漏洞,实际是Web应用程序的安全Bug,举几个常见的例子:
有些问题是Web程序对恶意输入缺少必要的检查造成的BUG,有些问题是程序的设计BUG。Web安全问题的发现,本质上是与Web程序打交道,Web安全漏洞的产生是建立在Web程序有问题的前提下的,弄懂Web漏洞,要搞清楚基本的Web程序的基础知识概念和一些计算机知识,JS、SQL、Web框架、PHP、Python等等。Web知识以外各种中间件的原理, 是搞懂Web漏洞的一个前提。常用的渗透测试工具是复现Web漏洞问题的手段。
但是,今天的Web程序,早已经不是“单机版游戏”的时代了。
海量的用户请求,Web系统高并发处理。Web服务的各位安全加固手段,其中就包括Web防火墙。
今天的Web渗透、安全测试,不再是直接面对简单的Web漏洞,要面对高并发的Web架构、Web防火墙防御体系、零信任安全机制、主机防护、神经网络机器学习发现威胁,这些防御手段的攻击原理是什么,是否可能绕过,形成新的课题。
Web漏洞的工作原理当然很重要,漏洞在层出不穷的同时,Web防御体系也在演表进化,需要一个相对更全面的角度看今天的Web安全。
人民邮电出版社异步社区推出的新书《墨守之道》。这本书讲了Web漏洞的原理同时、讲Web架构知识、Web防御系统原理、Web防御系统发现威胁的算法、语意分析算法、绕过WAF防火墙的原理等等知识点,给出新的视角看Web安全。
Web安全也是由浅入深的一个学习过程,只要多积累、多实践一定有收获和成长。