【web安全】Xss Exploits and Defense翻译2

WEB应用安全

Web互联网上有超过800万网民，100万个网站，天天交易在网上交易数十亿美圆。国际经济依赖于网络已经成为一种全球性的现象，由于Web邮件，留言板，聊天室，拍卖，购物，新闻，银行，以及其余基于网络的软件已经成为数字化生活的一部分。 今天，用户能够经过给出姓名，地址，社会安全号码，信用卡信息，电话号码，年薪，出生日期，有时甚至是本身喜欢的颜色或他们的幼儿园老师的名字来接收财务报表，税务，记录，或当日交易的股票。 我以前有提过超过80%的网站对这些数据的处理存在严重的安全风险？即便是最安全的系统也会受到最新安全威胁的困扰。

 

有收集我的信息和私人信息的组织有责任保护它不受窥探。企业荣誉和我的身份千钧一发。Web应用程序安全一直以来是相当重要的，咱们须要考虑得更多。咱们正处在身份泄漏，脚本小子的影响和信息被泄漏的烦恼中。新网站推出了电网控制，操做水坝，填写处方，多数美国企业的工资管理，运行企业网络，管理等真正的关键功能。想象一下，若是这些系统遭受恶意代码的威胁意味着什么。很难想象，更重要的信息安全领域。Web应用程序的漏洞已经变成最简单，最直接，或者能够说是最容易被利用来实施***的。

 

Web开发者如今在建立跟web商业相关的应用程序就会考虑到安全性。基础性软件的设计理念不得不改变。这种转变以前，平均款软件使用的用户数量相对较少。开放者如今建立的软件在整个互联网可接入的ｗｅｂ服务器上为任何人在任何地点提供服务。他们的软件交付的范围和幅度已成倍增长，并在这样作，安全问题也加重。如今全球数百万的用户直接跟服务器打交道，不少人多是恶意的。新的类型例如跨站脚本，数据库查询注入，和一大堆其余新的基于ｗｅｂ的***开始不得不被理解和处理。

 

 

 

 

 

 

web应用程序安全是一个大的话题围绕不少原则，技术和设计概念。一般，咱们关注的是如图１.1 从web 服务器开始以上的层次。这个包括应用服务器例如：JBoss，IBM WebSphere，BEA WebLogic和其余数千种。而后咱们进入商业和开源web应用程序例如PHP Nuke，微软OWA，和SAP。最后是开发者他们自定义的内部程序。这是web应用安全的整个结构。

 

图1-1 漏洞栈

 

 

Web应用开发者必须理解和知道如何防护的最大威胁之一就是XSS***。尽管XSS在web应用安全领域是相对小的一块内容，可是对互联网用户来，他多是最危险的。Web应用的一个简单bug可能致使***者盗取暑假，接管用户的浏览体验等。

 

具备讽刺意味的是，具备讽刺意味的是，不少人不理解XSS漏洞的危险，以及他们如何能够常常被用来***受害者。这本书主要目的是经过一系列讨论，例子和阐述XSS能在现实生活中形成的威胁和影响来教育读者。

 

直到最近，每一个人还认为防火墙，SSL，***检测系统，网络扫描仪和密码是网络安全的答案。安全专家借用一个最基本的军事理论来保护你所拥有的，就是设立一个周长。这个意思就是容许好人进来和把坏人拦截在外面。大部分这个策略是有效的，直到web和电子商务永远改变了这个策略。电子商务要求防火墙放行80端口和443端口的流量。本质上就意味着你不得不将你暴露在整个互联网中。彷佛一晚上之间整个移动互联网从薄壁网络到全球性商业集市。周长和安全管理员发现他们已经没有任何方法来应对web应用程序的安全。