1.2 Web安全的基本概念

Web安全的基本概念Web渗透与防护WebPenetrationTesting&Protection目录2Web安全的定义13Web安全的发展历程常见的Web安全漏洞Web安全的定义Web机密性完整性可用性安全Web安全的定义Web安全基础网络安全系统安全数据和应用安全内网安全外网安全本地数据安全服务器数据安全硬件系统级安全操作系统级安全应用系统级安全Web安全的发展历程防护技术和手段也在不断升级加强这就像一场军备竞赛，白帽子们和黑客不断博弈Web安全意识尚未普及开来，很多系统都是零防护，只考虑可用性，安全性和可靠性考虑较少。服务器端动态脚本的安全问题，Web攻击开始流行起来。Web安全主战场由服务器端转换到浏览器端。1.0时代2.0时代3.0时代1.0时代2.0时代3.0时代常见的Web安全漏洞Web应用的软件、协议或前后端逻辑处理设计存在的缺陷，导致攻击者能够在未授权的情况下进行访问和破坏。Web安全漏洞OWASP一个开源的、非营利性的组织，主要提供有关Web应用程序的实际可行、公正透明、有社会效益的信息，包括制定标准、提供测试或防护工具及相关技术文件等。常见的Web安全漏洞2021年OWASPTOP10榜单序号名称中文翻译A01BrokenAccessControl访问控制崩溃A02CryptographicFailures加密失败A03Injection注入A04InsecureDesign不安全的设计A05SecurityMisconfiguration安全配置不当A06VulnerableandOutdatedComponents易受攻击和过时的组件A07IdentificationandAuthenticationFailures识别和认证失败A08SoftwareandDataIntegrityFailures软件和数据完整性失败A09SecurityLoggingandMonitoringFailures安全日志记录和监控失败A10Server-SideRequestForgery服务器端请求伪造A01:访问控制崩溃是指对经过身份验证的用户的行为实施限制时所存在的漏洞。A02:加密失败通常会导致敏感数据暴露或系统受损，包括访问、修改或窃取未受保护的数据。A03:注入指攻击者通过输入恶意代码到应用程序迫使其执行命令以访问数据或整个应用程序。A04:不安全的设计重点关注与设计缺陷有关的风险。如果想要减少此类漏洞，需要更多地使用威胁建模、安全设计的模式和原则。A05:安全配置不当通常是由于不安全的默认配置、不完整的临时配置、未修补的缺陷、未受保护的文件和目录、开源云存储等造成的。A06：易受攻击和过时的组件主要包括：不知道所使用的所有组件的版本，软件易受攻击、不受支持或已过期，不能定期扫描漏洞等情况。常见的Web安全漏洞A07:识别和认证失败是指通过错误使用应用程序的身份认证和会话管理功能，攻击者能够破译密码、密钥或会话令牌，或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。A08:软件和数据完整性失败专注于在不验证完整性的情况下做出与软件更新、关键数据等相关的假设。A09:安全日志记录和监控失败旨在帮助检测、升级和响应主动违规行为。如果没有日志记录和监控，就无法检测到漏洞。A10:服务器端请求伪造一般指Web应用程序在未验证用户提供的URL的情况下获取远程资源时出现的S