前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Web安全该怎么走,入门好难 ?

Web安全该怎么走,入门好难 ?

作者头像
糖果
发布2021-07-19 11:36:12
5030
发布2021-07-19 11:36:12
举报
文章被收录于专栏:糖果的实验室

Web安全本质上, 是与各种“有问题”的Web程序打交道。

Web漏洞,实际是Web应用程序的安全Bug,举几个常见的例子:

  1. XSS注入:比如一个CMS内容管理系统,对用户提供的数据,不做检查,造成非法用户,可以通过提交业务以外的数据,比如,在表单提交的数据中,插入一些JS恶意代码,让Web程序执行恶意JS代码。
  2. SQL注入:依然是同一个Web程序,没有对用户输入的数据检查,用户提交了恶意构造的输入数据给Web程序,恶意的数据中嵌入了可被执行的SQL子句,被Web底层框架当做正常SQL请求执行。
  3. 逻辑漏洞:Web程序的设计实现者,提供给用户交互操作的顺序,是先执地A模块,再执行B模块,然后才能执行C模块。但是攻击者发现,B和C之间少执行了一个D的确认,造成可以直接伪造B的部分执行C。

有些问题是Web程序对恶意输入缺少必要的检查造成的BUG,有些问题是程序的设计BUG。Web安全问题的发现,本质上是与Web程序打交道,Web安全漏洞的产生是建立在Web程序有问题的前提下的,弄懂Web漏洞,要搞清楚基本的Web程序的基础知识概念和一些计算机知识,JS、SQL、Web框架、PHP、Python等等。Web知识以外各种中间件的原理, 是搞懂Web漏洞的一个前提。常用的渗透测试工具是复现Web漏洞问题的手段。

但是,今天的Web程序,早已经不是“单机版游戏”的时代了。

海量的用户请求,Web系统高并发处理。Web服务的各位安全加固手段,其中就包括Web防火墙。

今天的Web渗透、安全测试,不再是直接面对简单的Web漏洞,要面对高并发的Web架构、Web防火墙防御体系、零信任安全机制、主机防护、神经网络机器学习发现威胁,这些防御手段的攻击原理是什么,是否可能绕过,形成新的课题。

Web漏洞的工作原理当然很重要,漏洞在层出不穷的同时,Web防御体系也在演表进化,需要一个相对更全面的角度看今天的Web安全。

人民邮电出版社异步社区推出的新书《墨守之道》。这本书讲了Web漏洞的原理同时、讲Web架构知识、Web防御系统原理、Web防御系统发现威胁的算法、语意分析算法、绕过WAF防火墙的原理等等知识点,给出新的视角看Web安全。

Web安全也是由浅入深的一个学习过程,只要多积累、多实践一定有收获和成长。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-06-12,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 糖果的实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
消息队列 TDMQ
消息队列 TDMQ (Tencent Distributed Message Queue)是腾讯基于 Apache Pulsar 自研的一个云原生消息中间件系列,其中包含兼容Pulsar、RabbitMQ、RocketMQ 等协议的消息队列子产品,得益于其底层计算与存储分离的架构,TDMQ 具备良好的弹性伸缩以及故障恢复能力。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档