35、网络应用安全入门

网络应用安全入门

1. 关于 OSSTMM 改进建议的分享途径

如果你有改进 OSSTMM 的想法，有两种途径可以分享。一是在 ISECOM 讨论列表中分享，大多数 OSSTMM 开发者都在这个列表里；二是直接给作者写信。

2. 获取 OSSTMM 帮助的地方

若想获取 OSSTMM 相关帮助，可以查看 ISECOM 网站，上面有研讨会、帮助指南、你所在地区的核心团队成员信息，还有官方的 OSSTMM 认证课程。

3. 网络应用安全的定义

网络应用安全（常缩写为 Web app sec）涉及网络应用的整体架构、逻辑、编码和内容。它关注的是自身软件的漏洞，而非操作系统漏洞或商业产品的安全缺陷，是对现有安全实践的补充。为更好理解网络应用安全，我们先看看它不是什么：
- 不是防范特洛伊木马或病毒 ：防火墙制造商常称其产品提供“应用安全”，但他们指的是 OSI 模型的应用层，并非网络应用。市场上真正的网络应用防火墙很少，且都是专业设备。若防火墙供应商称有应用防火墙，要仔细核实是否针对网络应用安全。
- 不是处理垃圾邮件 ：垃圾邮件虽发生在应用层，但网络应用安全的重点是保护网站不被黑客攻击，而非保护终端用户免受网络传输内容的影响。
- 不是网络过滤 ：网络过滤主要关注出站网络流量，防止员工在工作时访问与工作无关的网站。
- 不是处理操作系统或 Web 服务器的已知漏洞 ：这些漏洞虽重要且已被广泛研究，但这方面的成熟认知可能使行业忽视了网络应用漏洞，导致其