WEB安全的历史
exp === exploit 漏洞利用代码
中国 黑客发展的 几个阶段 启蒙时代 ,黄金时代 ,黑暗时代
启蒙时代 -- 大致在 20世纪 19年代 中国互联网刚起步 一些青年收外国黑客技术影响 开始研究安全漏洞 大多都是个人爱好
黄金时代 -- 这个时代是以中美黑客大战为便签 黑客这个特殊的群体引起了光大人民的关注 吸引了无数的青少年走上了这题路
黑暗时代 -- 一直延续到今天 为了利息 倒卖信息 黑客间缺乏信任 再也没有了资源共享
黑客技术的发展过程
早期 目标软件系统居多 因为这个时期的web技术还没发展起来 不够成熟 另一方面通过系统软件漏洞往往能获得很高的权限 这段时期 涌现了很多经典的exploit
早期 web网站 不是 多数 还是以ftp pop3 smtp 这些服务占多数 还有攻击web网站往往获得权限非常小 没有直接攻击系统软件带劲
紧接着 以防火墙技术的兴起改变互联网的格局
最终web服务开始兴起 成为了互联网的主流
web安全的兴起
web安全 有分几个阶段
web1.0时代 关注的更多是服务器端动态脚本的安全问题
sql注入的出现 最早出现在1999年 并很快的成为web安全的头号大敌
xss(跨站脚本攻击)重要性很sql注入差不多 2003年引起注意
web2.0时代的兴起 xss csrf等攻击变得更加强大 。web攻击也从服务器端撞到了客户端 转向了浏览器和用户
同时 也新兴了很多脚本语言 如python ruby nodejs等
手机技术 ,移动互联网的兴起 也给html带来了新的机遇和挑战
安全的三要素 简称 CIA
机密性(Confidentiality) 完整性 (Integrity) 可用性 (Availability)
机密性 要求保护数据内容 不能泄露 加密的实现机密性要求的常见手段
完整性 要求保护数据内容的完整,没有被窜开。常见的保证一致性的技术手段是数字签名
可用性 要求保护资源的“随需而得”
拒绝是服务攻击 简称DOS(Denial of service)
威胁分析
在进行 威胁分析时,要尽可能地不遗漏威胁
风险分析
风险的组成:Risk = Probability * Damage Potential
影响风险高低的因素,除了造成损失的大小外 ,还需要考虑到发生的可能性
DREAD D(Damage Potentiql)R(Reproducibility)E(Exploitability)A(Affected users)D(Discoverability)
在DREAD模型中,每一个因素可以分成高中低三个等级
Secure By Default 原理
缺省安全
白名单 和 黑名单
最小权限原则
Secure By Default 另一层含义 就是“最小权限原则”
给普通用户普通权限 没必要给过高的的权限 这样普通用户窃取和管理员被窃取有很大区别的
纵深防御原则
与Secure By Default 一样,Defense in Depth(纵深防御)也试设计安全方案时的重要指导思想
纵深防御 在不同层面 不同方面施舍不同的安全方案 避免出现疏漏 不同方案之间进行相互配合 构成一个整体
也就是在正确的地方做正确的事
数据与代码分离原则
缓冲区溢出 可以认为是程序违背了这一原则的后果
程序在栈或者栈中讲用户数据当作代码执行 混淆了代码与数据的边界 从而导致安全问题的发生
根据数据与代码分离原则 在用户可操作的地方实施过滤。编码等手段 把可能造成和数据和用户输出的内容进行混淆做处理
不可预测原则 (Unpredictable)
原理 : 克服攻击方法的角度看问题
ASLR 原理 让进程中的栈基址随机变化 从而使攻击程序无法准确的判断到内存地址 大大提高了攻击的门槛 即使无法修复code 但是可以让她攻击无效
在ASLR的控制下 一个程序每次启动时,其进程的栈基址都不相同,具有一定的随机值,对于攻击者来说这就是 “不可预测性‘
安全是一门朴素的学问,也是一种平衡的艺术
WEB安全的历史的更多相关文章
- 1.2 java web的发展历史
前言 了解java web的发展历史和相关技术的演进历程,非常有助于加深对java web技术的理解和认识. 阅读目录 1.Servlet的出现 2.Jsp的出现 3.倡导了MVC思想的Servlet ...
- [转]1.2 java web的发展历史
前言 了解java web的发展历史和相关技术的演进历程,非常有助于加深对java web技术的理解和认识. 阅读目录 1.Servlet的出现 2.Jsp的出现 3.倡导了MVC思想的Servlet ...
- Erlang cowboy 入门参考之现代Web的发展历史
Erlang cowboy 入门参考之现代Web发展史 原文: http://ninenines.eu/docs/en/cowboy/1.0/guide/modern_web/ 让我回顾一下web技术 ...
- 实时Web的发展历史
传统的Web是基于HTTP的请求/响应模型的:客户端请求一个新页面,服务器将内容发送到客户端,客户端再请求另外一个页面时又要重新发送请求.后来有人提出了AJAX,AJAX使得页面的体验更加“动态”,可 ...
- Web开发技术发展历史
Web开发技术发展历史 来自:天码营 原文:http://www.tianmaying.com/tutorial/web-history Web的诞生 提到Web,不得不提一个词就是"互 ...
- 【转载】Web开发技术发展历史-版本1
原文在这里. Web开发技术发展历史 Web的诞生 提到Web,不得不提一个词就是“互联网”.Web是World Wide Web的简称,中文译为万维网.“万维网”和我们经常说的“互联网”是两个联系极 ...
- 【转】同形的JavaScript:Web应用的未来
原文转自:http://blog.jobbole.com/51786/ 在Airbnb,这几年我们已经学习了很多了关于构建富应用的经验,从2011年通过做我们的网站手机版,我们开始研究single-p ...
- web之困:现代web应用安全指南
<web之困:现代web应用安全指南>在web安全领域有“圣经”的美誉,在世界范围内被安全工作者和web从业人员广为称道,由来自google chrome浏览器团队的世界顶级黑客.国际一流 ...
- cct,web技术
基本信息 全国计算机等级考试二级教程——Web程序设计(2016年版)作 者:教育部考试中心 编出 版 社:高等教育出版社出版时间:20115-12-1 ISBN:9787040442991版 ...
随机推荐
- MongoDB 学习笔记之 查询表达式
查询表达式: db.stu.find().count() db.stu.find({name: 'Sky'}) db.stu.find({age: {$ne: 20}},{name: 1, age: ...
- (八十三)c#Winform自定义控件-导航菜单(扩展)
前提 入行已经7,8年了,一直想做一套漂亮点的自定义控件,于是就有了本系列文章. GitHub:https://github.com/kwwwvagaa/NetWinformControl 码云:ht ...
- 详解PHP魔术函数、魔术常量、预定义常量
一.魔术函数(13个) 1.__construct() 实例化对象时被调用, 当__construct和以类名为函数名的函数同时存在时,__construct将被调用,另一个不被调用. 2.__des ...
- .net core session的使用步骤
步骤 操作 备注 1 Microsoft.AspNetCore.Session Microsoft.AspNetCore.Http.Extensions nuget安装包 2 ConfigureS ...
- 一致性hash (PHP)
<?php /** * Flexihash - A simple consistent hashing implementation for PHP. * * The MIT License * ...
- jdbc 以及 事务的java类编写
package com.gaosheng.utils; import java.sql.Connection;import java.sql.SQLException; import javax.sq ...
- 洛谷 P3833 [SHOI2012]魔法树
题目背景 SHOI2012 D2T3 题目描述 Harry Potter 新学了一种魔法:可以让改变树上的果子个数.满心欢喜的他找到了一个巨大的果树,来试验他的新法术. 这棵果树共有N个节点,其中节点 ...
- 一次SSM项目记录
1.控制台输入 mvn archetype:generate -DgroupId=com.yjdev -DartifactId=myzone -DarchetypeArtifactId=maven-a ...
- ride工具使用
1.新建project,suite, testcase (1) 新建project:file->new project ,输入工程名,选择Type选directory,选择工程存放路径,ok ...
- Windows系统调用中API的3环部分(依据分析重写ReadProcessMemory函数)
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中API的3环部分 一.R3环API分析的重 ...