【网络安全】Web安全趋势与核心防御机制

一 、WEB安全技术产生原因

早期：万维网（World Wide Web）仅有Web站点构成，这些站点基本上是包含静态文档的信息库。这种信息流仅由服务器向浏览器单向传送。多数站点并不验证用户的合法性。

如今：已与早期的万维网已经完全不同，Web上的大多数站点实际上是应用程序。他们功能强大，在服务器和浏览器之间进行双向信息传送。他们处理的许多信息属于私密和高度敏感信息。因此，安全问题至关重要，Web安全技术也应运而生。

二、Web程序常见漏洞

1. 不完善的身份验证措施：这类漏洞包括应用程序登陆机制中的各种缺陷，可能会使攻击者攻破保密性不强的密码，发动蛮力攻击或者完全避开登陆。

2. 不完善的访问控制措施：这一问题涉及的情况包括：应用程序无法为数据和功能提供全面保护，攻击者可以查看其他用户保存在服务器中的敏感信息，或者执行特权操作。

3. SQL注入：攻击者可通过这一漏洞提交专门设计的输入，干扰应用程序与后端数据库的交互活动。攻击者能够从应用程序中提取任何数据、破坏逻辑结构，或者在数据库服务器上执行命令。

4. 跨站点脚本：攻击者可利用该漏洞攻击应用程序的其他用户、访问其信息、代表他们执行未授权操作，或者向其发动其他攻击。

5. 信息泄露：这一问题包括应用程序泄露敏感信息，攻击者利用这些敏感信息通过有缺陷的错误处理或其他行为攻击应用程序。

三、核心安全问题

如今的Web程序的核心安全问题为：用户可提交任意输入。具体为：

1. 用户可干预客户与服务器间传送的所有数据，包括请求参数、cookie和HTTP信息头。

2. 用户可按任何顺序发送请求。

3. 用户并不限于仅使用一种Web浏览器访问应用程序。大量各种各样的工具可以协助攻击Web应用程序，这些工具既可整合在浏览器中，也可独立于浏览器运作。这些工具能够提出普通浏览器无法提供的请求，并能够迅速生成大量的请求，查找和