超级会员免费看
Web 应用安全:架构、漏洞与防护方法
1. Web 服务的优势与挑战
在当今网络环境中,协调两个或多个 Web 应用程序以实现数据、协议和平台等方面的标准统一,通常是一项艰巨的任务。不过,Web 服务大大减轻了这项工作的负担。它能够描述自身的功能,并通过 WSDL、UDDI 和 SOAP 搜索并与其他 Web 服务进行动态交互。这使得不同组织能够在网络上连接各自的应用程序,开展动态电子商务,而无需考虑应用程序、设计或运行时环境(如 ASP、ISAPI、COM、J2EE、CORBA 等)的差异。
WSDL、UDDI 和 SOAP 是微软与其他众多供应商(包括 IBM、Ariba、DevelopMentor 和 UserLand Software)合作的成果。像 Sun 和 Oracle 等大型科技企业也纷纷投身 Web 服务领域。尽管当前的标准可能在六个月后发生变化,但可以确定的是,Web 服务将长期存在。当然,随着这些新技术的发展,也会带来一系列新的安全问题。
2. Web 应用架构的潜在弱点
在了解了典型的 Web 应用架构后,我们来简要探讨一下该架构中常见的易受攻击的弱点。
| 架构组件 | 常见攻击类型 |
| ---- | ---- |
| Web 客户端 | 主动内容执行、客户端软件漏洞利用、跨站脚本错误 |
| 传输层 | 监听客户端 - 服务器通信、SSL 重定向 |
| Web 服务器 | Web 服务器软件漏洞 |
| Web 应用程序 | 针对身份验证、授权、站点结构、输入验证和应用逻辑的攻击 |
| 数据库 | 通过数据库查询运行特权命令、操纵查询以返回过多数据集
订阅专栏 解锁全文
扫一扫
6964
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
