【web安全】Xss Exploits and Defense翻譯2

WEB應用安全

Web互聯網上有超過800萬網民，100萬個網站，天天交易在網上交易數十億美圓。國際經濟依賴於網絡已經成爲一種全球性的現象，由於Web郵件，留言板，聊天室，拍賣，購物，新聞，銀行，以及其餘基於網絡的軟件已經成爲數字化生活的一部分。 今天，用戶能夠經過給出姓名，地址，社會安全號碼，信用卡信息，電話號碼，年薪，出生日期，有時甚至是本身喜歡的顏色或他們的幼兒園老師的名字來接收財務報表，稅務，記錄，或當日交易的股票。 我以前有提過超過80%的網站對這些數據的處理存在嚴重的安全風險？即便是最安全的系統也會受到最新安全威脅的困擾。

 

有收集我的信息和私人信息的組織有責任保護它不受窺探。企業榮譽和我的身份千鈞一髮。Web應用程序安全一直以來是相當重要的，咱們須要考慮得更多。咱們正處在身份泄漏，腳本小子的影響和信息被泄漏的煩惱中。新網站推出了電網控制，操做水壩，填寫處方，多數美國企業的工資管理，運行企業網絡，管理等真正的關鍵功能。想象一下，若是這些系統遭受惡意代碼的威脅意味着什麼。很難想象，更重要的信息安全領域。Web應用程序的漏洞已經變成最簡單，最直接，或者能夠說是最容易被利用來實施***的。

 

Web開發者如今在建立跟web商業相關的應用程序就會考慮到安全性。基礎性軟件的設計理念不得不改變。這種轉變以前，平均款軟件使用的用戶數量相對較少。開放者如今建立的軟件在整個互聯網可接入的ｗｅｂ服務器上爲任何人在任何地點提供服務。他們的軟件交付的範圍和幅度已成倍增長，並在這樣作，安全問題也加重。如今全球數百萬的用戶直接跟服務器打交道，不少人多是惡意的。新的類型例如跨站腳本，數據庫查詢注入，和一大堆其餘新的基於ｗｅｂ的***開始不得不被理解和處理。

 

 

 

 

 

 

web應用程序安全是一個大的話題圍繞不少原則，技術和設計概念。一般，咱們關注的是如圖１.1 從web 服務器開始以上的層次。這個包括應用服務器例如：JBoss，IBM WebSphere，BEA WebLogic和其餘數千種。而後咱們進入商業和開源web應用程序例如PHP Nuke，微軟OWA，和SAP。最後是開發者他們自定義的內部程序。這是web應用安全的整個結構。

 

圖1-1 漏洞棧

 

 

Web應用開發者必須理解和知道如何防護的最大威脅之一就是XSS***。儘管XSS在web應用安全領域是相對小的一塊內容，可是對互聯網用戶來，他多是最危險的。Web應用的一個簡單bug可能致使***者盜取暑假，接管用戶的瀏覽體驗等。

 

具備諷刺意味的是，具備諷刺意味的是，不少人不理解XSS漏洞的危險，以及他們如何能夠常常被用來***受害者。這本書主要目的是經過一系列討論，例子和闡述XSS能在現實生活中形成的威脅和影響來教育讀者。

 

直到最近，每一個人還認爲防火牆，SSL，***檢測系統，網絡掃描儀和密碼是網絡安全的答案。安全專家借用一個最基本的軍事理論來保護你所擁有的，就是設立一個周長。這個意思就是容許好人進來和把壞人攔截在外面。大部分這個策略是有效的，直到web和電子商務永遠改變了這個策略。電子商務要求防火牆放行80端口和443端口的流量。本質上就意味着你不得不將你暴露在整個互聯網中。彷佛一晚上之間整個移動互聯網從薄壁網絡到全球性商業集市。周長和安全管理員發現他們已經沒有任何方法來應對web應用程序的安全。