Web服务安全架构与实践

Web安全该怎么走,入门好难 ?

Web服务安全架构与实践。

Web安全本质上, 是与各种“有问题”的Web程序打交道。

Web安全的过去

Web漏洞,实际是Web应用程序的安全Bug,举几个常见的例子:

XSS注入:比如一个CMS内容管理系统,对用户提供的数据,不做检查,造成非法用户,可以通过提交业务以外的数据,比如,在表单提交的数据中,插入一些JS恶意代码,让Web程序执行恶意JS代码。

SQL注入:依然是同一个Web程序,没有对用户输入的数据检查,用户提交了恶意构造的输入数据给Web程序,恶意的数据中嵌入了可被执行的SQL子句,被Web底层框架当做正常SQL请求执行。

逻辑漏洞:Web程序的设计实现者,提供给用户交互操作的顺序,是先执地A模块,再执行B模块,然后才能执行C模块。但是攻击者发现,B和C之间少执行了一个D的确认,造成可以直接伪造B的部分执行C。

有些问题是Web程序对恶意输入缺少必要的检查造成的BUG,有些问题是程序的设计BUG。Web安全问题的发现,本质上是与Web程序打交道,Web安全漏洞的产生是建立在Web程序有问题的前提下的,弄懂Web漏洞,要搞清楚基本的Web程序的基础知识概念和一些计算机知识,JS、SQL、Web框架、PHP、Python等等。Web知识以外各种中间件的原理, 是搞懂Web漏洞的一个前提。常用的渗透测试工具是复现Web漏洞问题的手段。

Web安全的未来

但是,今天的Web程序,早已经不是“单机版游戏”的时代了。

海量的用户请求,Web系统高并发处理。Web服务的各位安全加固手段,其中就包括Web防火墙。

今天的Web渗透、安全测试,不再是直接面对简单的Web漏洞,要面对高并发的Web架构、Web防火墙防御体系、零信任安全机制、主机防护、神经网络机器学习发现威胁,这些防御手段的攻击原理是什么,是否可能绕过,形成新的课题。

Web漏洞的工作原理当然很重要,漏洞在层出不穷的同时,Web防御体系也在演表进化,需要一个相对更全面的角度看今天的Web安全。

人民邮电出版社异步社区推出的新书《墨守之道》。这本书讲了Web漏洞的原理同时、讲Web架构知识、Web防御系统原理、Web防御系统发现威胁的算法、语意分析算法、绕过WAF防火墙的原理等等知识点,给出新的视角看Web安全。

Web安全也是由浅入深的一个学习过程,只要多积累、多实践一定有收获和成长。

封面