Web基础知识(一)
目錄
一,什么是Web應(yīng)用程序
???? 1,Web應(yīng)用程序的定義
???? 2,典型的三種Web應(yīng)用程序
???? 3,應(yīng)用程序,軟件,小程序,APP的區(qū)別
???? 4,應(yīng)用軟件的分類
二,Web應(yīng)用程序體系結(jié)構(gòu)
三,Web應(yīng)用程序功能與安全隱患的對(duì)應(yīng)關(guān)系
四,Web程序三層架構(gòu)
五,Web應(yīng)用通常存在的10大安全問題
一,什么是Web應(yīng)用程序
???? 1,Web應(yīng)用程序的定義
??????????? Web應(yīng)用程序是一種可以通過Web訪問的應(yīng)用程序。Web應(yīng)用程序的一個(gè)最大好處是用戶可以很容易訪問應(yīng)用程序。用戶只需要有瀏覽器即可,不需要再安裝其他軟件
???? 2,典型的三種Web應(yīng)用程序
?????????? 桌面應(yīng)用程序(QQ,Office)
?????????? Web應(yīng)用程序(京東,天貓)
?????????? 嵌入式應(yīng)用程序(安卓,iphone)
???? 3,應(yīng)用程序,軟件,小程序,APP的區(qū)別
?????????? 應(yīng)用程序
???????? ? 通俗一點(diǎn)理解,應(yīng)用程序是為使用者提供與電腦溝通所開發(fā)出來的程序軟件。
?????????? 應(yīng)用程序是用戶選擇安裝的程序總稱,通常包括驅(qū)動(dòng)程序的進(jìn)程,比如看圖軟件,解壓縮軟件等通用軟件的進(jìn)程。
?????????? 軟件
??????? ?? 軟件是一系列按照特定順序組織的計(jì)算機(jī)數(shù)據(jù)和指令的集合。一般來講軟件被劃分為系統(tǒng)軟件,應(yīng)用軟件和介于這兩者之間的中間件。
??????????? 軟件并不只是包括可以在計(jì)算機(jī)上運(yùn)行的電腦程序,與這些程序相關(guān)的文檔也被認(rèn)為是軟件的一部分。簡(jiǎn)單的說軟件就是程序加文檔的集合體。
?????????? 小程序
?????????? 是一種不需要下載安裝即可以使用的的應(yīng)用。
??????????? APP
?????????? 手機(jī)軟件,主要是指安裝在智能手機(jī)上的軟件,完善原始系統(tǒng)的不足與實(shí)現(xiàn)個(gè)性化,使手機(jī)完善其功能,為用戶提供更豐富的使用體驗(yàn)的主要手段。
???? 4,應(yīng)用軟件的分類
計(jì)算機(jī)軟件總體分為兩類:系統(tǒng)軟件和應(yīng)用軟件。
系統(tǒng)軟件是各類操作系統(tǒng),如windows、Linux、UNIX等,還包括操作系統(tǒng)的補(bǔ)丁程序及硬件驅(qū)動(dòng)程序,都是系統(tǒng)軟件類。
應(yīng)用軟件可以細(xì)分的種類就更多了,如工具軟件、游戲軟件、管理軟件等都屬于應(yīng)用軟件類。
二,Web應(yīng)用程序體系結(jié)構(gòu)
?
三,Web應(yīng)用程序功能與安全隱患的對(duì)應(yīng)關(guān)系
?
四,Web程序三層架構(gòu)
五,Web應(yīng)用通常存在的10大安全問題
1、SQL注入
????? 拼接的SQL字符串改變了設(shè)計(jì)者原來的意圖,執(zhí)行了如泄露、改變數(shù)據(jù)等操作,甚至控制數(shù)據(jù)庫(kù)服務(wù)器,?SQL Injection與Command Injection等攻擊包括在內(nèi)
2、跨站腳本攻擊(XSS或css)
??? 跨站腳本(Cross-Site Scripting)是指遠(yuǎn)程WEB頁面的html代碼可以插入具有惡意目的的數(shù)據(jù),?? 當(dāng)瀏覽器下載該頁面,嵌入其中的惡意腳本將被解釋執(zhí)行,從而對(duì)客戶端用戶造成傷害。簡(jiǎn)稱CSS或XSS
3、沒有限制URL訪問
系統(tǒng)已經(jīng)對(duì)URL的訪問做了限制,但這種限制卻實(shí)際并沒有生效。攻擊者能夠很容易的就偽造
請(qǐng)求直接訪問未被授權(quán)的頁面
4、越權(quán)訪問
用戶對(duì)系統(tǒng)的某個(gè)模塊或功能沒有權(quán)限,通過拼接URL或Cookie欺騙來訪問該模塊或功能
5、泄露配置信息
服務(wù)器返回的提示或錯(cuò)誤信息中出現(xiàn)服務(wù)器版本信息泄露、程序出錯(cuò)泄露物理路徑、程序查詢
出錯(cuò)返回SQL語句、過于詳細(xì)的用戶驗(yàn)證返回信息。
6、不安全的加密存儲(chǔ)
常見的問題是不安全的密鑰生成和儲(chǔ)存、不輪換密鑰,和使用弱算法。使用弱的或者不帶salt?
的哈希算法來保護(hù)密碼也很普遍。外部攻擊者因訪問的局限性很難探測(cè)這種漏洞。他們通常
必須首先破解其他東西以獲得需要的訪問。
7、傳輸層保護(hù)不足
在身份驗(yàn)證過程中沒有使用SSL / TLS,因此暴露傳輸數(shù)據(jù)和會(huì)話ID,被攻擊者截聽,或使
用過期或者配置不正確的證書。
8、登錄信息提示
用戶登錄提示信息會(huì)給攻擊者一些有用的信息,作為程序的開發(fā)人員應(yīng)該做到對(duì)登錄提示信
息的模糊化,以防攻擊者利用登錄得知用戶是否存在
9、重復(fù)提交請(qǐng)求
程序員在代碼中沒有對(duì)重復(fù)提交請(qǐng)求做限制,這樣就會(huì)出現(xiàn)訂單被多次下單,帖子被重
復(fù)發(fā)布。惡意攻擊者可能利用此漏洞對(duì)網(wǎng)站進(jìn)行批量灌水,致使網(wǎng)站癱瘓
10、網(wǎng)頁腳本錯(cuò)誤
訪問者所使用的瀏覽器不能完全支持頁面里的腳本,形成“腳本錯(cuò)誤”,也就是網(wǎng)站中的腳
本沒有被成功執(zhí)行。遇到“腳本錯(cuò)誤”時(shí)一般會(huì)彈出一個(gè)非常難看的腳本運(yùn)行錯(cuò)誤警告窗口
部署網(wǎng)站安全防護(hù)措施:
操作系統(tǒng)作為抵御非法攻擊的第一道防線,對(duì)確保web安全發(fā)揮著非常重要的作用。主要包括以下幾個(gè)方面:對(duì)系統(tǒng)補(bǔ)丁進(jìn)行實(shí)時(shí)更新,防止非法分子依靠系統(tǒng)漏洞進(jìn)行攻擊。對(duì)不必要的通訊端口進(jìn)行關(guān)閉處理,以有效降低惡意攻擊的入侵通口。對(duì)密碼管理制度進(jìn)行規(guī)范處理。對(duì)服務(wù)器上的各個(gè)登陸密碼進(jìn)行統(tǒng)一生成與集中處理。在進(jìn)行軟件與組件安裝時(shí),應(yīng)認(rèn)真謹(jǐn)慎,關(guān)閉不必要的服務(wù)器,以有效降低安全隱患。遵循最小權(quán)限原則設(shè)置文件系統(tǒng),以有效避免跨站腳本攻擊與提權(quán)操作。
總結(jié)
以上是生活随笔為你收集整理的Web基础知识(一)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 看不懂代码也能做网站(一)---效果演示
- 下一篇: 《魅魔succubus》 来自韩国3d建