35、网络应用安全测试全解析

网络应用安全测试全解析

1. 网络应用基础与 HTTP 协议

1.1 网络应用工作原理

用户通过标准网络浏览器的计算设备（如计算机），使用网络浏览器编码并发送超文本传输协议（HTTP）请求消息到托管在 Web 服务器上的 Web 应用程序。Web 应用程序处理来自发送者的消息并作出响应，根据用户消息，可能需要在数据库服务器上创建、修改、检索或删除记录。

在网络攻击的侦察阶段，威胁行为者会寻找目标 Web 应用程序中的安全漏洞。由于软件开发生命周期（SDLC）中的不良实践和 Web 服务器配置问题，常导致 Web 应用程序、Web 服务器操作系统甚至数据库服务器存在可被利用的漏洞。因此，确保 Web 应用程序无安全风险至关重要。

1.2 HTTP 协议基础

HTTP 是一种常见的应用层协议，采用客户端 - 服务器模型，允许客户端（如 Web 浏览器）与运行 Web 应用程序的服务器进行交互。客户端通常向 Web 应用程序发送 HTTP 请求消息，Web 应用程序则向客户端提供 HTTP 响应。Web 应用程序上的每个资源由统一资源定位符（URL）定义，指定了资源在 Web 服务器上的位置。

例如，要访问 Packt 网站上的作者页面，URL 为 https://www.packtpub.com/authors/glen - d - singh ，其中指定了协议（HTTP）、服务器主机名（ www.packtpub.com ）和资源位置（ /authors/glen - d - singh ）。

HTTP 请