解析WEB應(yīng)用程序的安全與風(fēng)險(xiǎn)

　　1。網(wǎng)絡(luò)應(yīng)用的發(fā)展歷史

　　在互聯(lián)網(wǎng)發(fā)展的早期階段，萬(wàn)維網(wǎng)由網(wǎng)站組成，這些網(wǎng)站基本上是包含靜態(tài)文檔的信息庫(kù)。  后來(lái)，人們發(fā)明了網(wǎng)絡(luò)瀏覽器，通過(guò)它可以檢索和顯示那些文檔。這個(gè)相關(guān)的信息流只從服務(wù)器向?yàn)g覽器單向傳輸。  大多數(shù)網(wǎng)站不驗(yàn)證用戶(hù)的合法性，因?yàn)闆](méi)有必要這樣做；所有用戶(hù)都受到平等對(duì)待，并提供相同的信息。  創(chuàng)建網(wǎng)站帶來(lái)的安全威脅主要與網(wǎng)絡(luò)服務(wù)器軟件的漏洞有關(guān)。 

　　攻擊者無(wú)法通過(guò)入侵網(wǎng)站獲得任何敏感信息，因?yàn)榇鎯?chǔ)在服務(wù)器上的信息可以被公開(kāi)查看。  因此，攻擊者經(jīng)常修改服務(wù)器上的文件來(lái)歪曲網(wǎng)站的內(nèi)容，或者利用服務(wù)器的存儲(chǔ)容量和帶寬來(lái)傳播“非法軟件”  今天的萬(wàn)維網(wǎng)與早期的萬(wàn)維網(wǎng)完全不同。網(wǎng)絡(luò)上的大多數(shù)網(wǎng)站實(shí)際上都是應(yīng)用程序。  它們功能強(qiáng)大，實(shí)現(xiàn)了服務(wù)器和瀏覽器之間的雙向信息傳輸。  它們支持注冊(cè)和登錄、金融交易、搜索和用戶(hù)創(chuàng)建的內(nèi)容  用戶(hù)獲取的內(nèi)容是以動(dòng)態(tài)形式生成的，通?？梢詽M(mǎn)足每個(gè)用戶(hù)的特殊需求。  他們處理的許多信息都是隱私和高度敏感的  因此，安全問(wèn)題至關(guān)重要:如果人們認(rèn)為網(wǎng)絡(luò)應(yīng)用程序會(huì)將他們的信息泄露給未經(jīng)授權(quán)的訪(fǎng)問(wèn)者，他們將拒絕使用網(wǎng)絡(luò)應(yīng)用程序。  

　　網(wǎng)站開(kāi)發(fā)帶來(lái)了新的主要安全威脅  應(yīng)用程序不同，漏洞也不同。  許多應(yīng)用程序是由開(kāi)發(fā)人員獨(dú)立開(kāi)發(fā)的，許多應(yīng)用程序開(kāi)發(fā)人員對(duì)他們編寫(xiě)的代碼可能導(dǎo)致的安全問(wèn)題知之甚少。  為了實(shí)現(xiàn)核心功能，網(wǎng)絡(luò)應(yīng)用通常需要與內(nèi)部計(jì)算機(jī)系統(tǒng)建立連接  這些系統(tǒng)保留了高度敏感的數(shù)據(jù)，可以執(zhí)行強(qiáng)大的業(yè)務(wù)功能。  十五年前，如果你需要轉(zhuǎn)賬，你必須去銀行，并要求銀行工作人員幫助你完成交易。  今天，您可以訪(fǎng)問(wèn)銀行的網(wǎng)絡(luò)應(yīng)用程序，并自己完成轉(zhuǎn)賬交易。  進(jìn)入網(wǎng)絡(luò)應(yīng)用程序的攻擊者可以竊取個(gè)人信息、實(shí)施金融欺詐或?qū)ζ渌脩?hù)實(shí)施惡意行為。

　　2，網(wǎng)絡(luò)應(yīng)用安全

　　像任何新興技術(shù)一樣，網(wǎng)絡(luò)應(yīng)用也帶來(lái)了一系列新的安全漏洞  這些共同的差距也“與時(shí)俱進(jìn)”。一些開(kāi)發(fā)人員在開(kāi)發(fā)現(xiàn)有應(yīng)用程序時(shí)沒(méi)有考慮到的攻擊層出不窮。由于安全意識(shí)的加強(qiáng)，一些問(wèn)題得到了解決。  新技術(shù)的發(fā)展也會(huì)帶來(lái)新的漏洞。  網(wǎng)絡(luò)瀏覽器軟件的改進(jìn)基本上消除了一些缺陷。  對(duì)Wb應(yīng)用程序的最嚴(yán)重的攻擊是那些能夠暴露敏感數(shù)據(jù)或獲得對(duì)運(yùn)行該應(yīng)用程序的后端系統(tǒng)的無(wú)限制訪(fǎng)問(wèn)的攻擊。  這種高針對(duì)性的攻擊經(jīng)常發(fā)生，但是對(duì)于許多組織來(lái)說(shuō)，任何導(dǎo)致系統(tǒng)中斷的攻擊都是一個(gè)重大事件。  

　　通過(guò)實(shí)施應(yīng)用程序級(jí)別的拒絕服務(wù)攻擊，可以實(shí)現(xiàn)與針對(duì)基礎(chǔ)架構(gòu)的傳統(tǒng)資源耗盡攻擊相同的目的  然而，實(shí)施這些攻擊通常需要更復(fù)雜的操作，并且主要針對(duì)特定目標(biāo)。  例如，這些攻擊可用于摧毀特定用戶(hù)或服務(wù)，從而在金融和貿(mào)易、賭博、在線(xiàn)競(jìng)價(jià)和訂票等領(lǐng)域獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。  

　　在整個(gè)開(kāi)發(fā)過(guò)程中，沒(méi)有關(guān)于知名的網(wǎng)絡(luò)應(yīng)用程序遭到破壞的報(bào)道。  情況似乎沒(méi)有改善，也沒(méi)有跡象表明這些安全問(wèn)題已經(jīng)得到解決。  可以說(shuō)，網(wǎng)絡(luò)應(yīng)用安全領(lǐng)域是當(dāng)今計(jì)算機(jī)資源和數(shù)據(jù)維護(hù)者之間最重要的戰(zhàn)場(chǎng)，這種情況在可預(yù)見(jiàn)的將來(lái)還會(huì)繼續(xù)。