目錄

一，什么是Web應(yīng)用程序

???? 1，Web應(yīng)用程序的定義

???? 2，典型的三種Web應(yīng)用程序

???? 3，應(yīng)用程序，軟件，小程序，APP的區(qū)別

???? 4，應(yīng)用軟件的分類

二，Web應(yīng)用程序體系結(jié)構(gòu)

三，Web應(yīng)用程序功能與安全隱患的對(duì)應(yīng)關(guān)系

四，Web程序三層架構(gòu)

五，Web應(yīng)用通常存在的10大安全問(wèn)題

---

一，什么是Web應(yīng)用程序

???? 1，Web應(yīng)用程序的定義

??????????? Web應(yīng)用程序是一種可以通過(guò)Web訪問(wèn)的應(yīng)用程序。Web應(yīng)用程序的一個(gè)最大好處是用戶可以很容易訪問(wèn)應(yīng)用程序。用戶只需要有瀏覽器即可，不需要再安裝其他軟件

???? 2，典型的三種Web應(yīng)用程序

?????????? 桌面應(yīng)用程序（QQ，Office）

?????????? Web應(yīng)用程序（京東，天貓）

?????????? 嵌入式應(yīng)用程序（安卓，iphone）

???? 3，應(yīng)用程序，軟件，小程序，APP的區(qū)別

?????????? 應(yīng)用程序

???????? ? 通俗一點(diǎn)理解，應(yīng)用程序是為使用者提供與電腦溝通所開(kāi)發(fā)出來(lái)的程序軟件。

?????????? 應(yīng)用程序是用戶選擇安裝的程序總稱，通常包括驅(qū)動(dòng)程序的進(jìn)程，比如看圖軟件，解壓縮軟件等通用軟件的進(jìn)程。

?????????? 軟件

??????? ?? 軟件是一系列按照特定順序組織的計(jì)算機(jī)數(shù)據(jù)和指令的集合。一般來(lái)講軟件被劃分為系統(tǒng)軟件，應(yīng)用軟件和介于這兩者之間的中間件。

??????????? 軟件并不只是包括可以在計(jì)算機(jī)上運(yùn)行的電腦程序，與這些程序相關(guān)的文檔也被認(rèn)為是軟件的一部分。簡(jiǎn)單的說(shuō)軟件就是程序加文檔的集合體。

?????????? 小程序

?????????? 是一種不需要下載安裝即可以使用的的應(yīng)用。

??????????? APP

?????????? 手機(jī)軟件，主要是指安裝在智能手機(jī)上的軟件，完善原始系統(tǒng)的不足與實(shí)現(xiàn)個(gè)性化，使手機(jī)完善其功能，為用戶提供更豐富的使用體驗(yàn)的主要手段。

???? 4，應(yīng)用軟件的分類

計(jì)算機(jī)軟件總體分為兩類：系統(tǒng)軟件和應(yīng)用軟件。

系統(tǒng)軟件是各類操作系統(tǒng)，如windows、Linux、UNIX等，還包括操作系統(tǒng)的補(bǔ)丁程序及硬件驅(qū)動(dòng)程序，都是系統(tǒng)軟件類。

應(yīng)用軟件可以細(xì)分的種類就更多了，如工具軟件、游戲軟件、管理軟件等都屬于應(yīng)用軟件類。

二，Web應(yīng)用程序體系結(jié)構(gòu)

?

三，Web應(yīng)用程序功能與安全隱患的對(duì)應(yīng)關(guān)系

?

四，Web程序三層架構(gòu)

五，Web應(yīng)用通常存在的10大安全問(wèn)題

1、SQL注入

????? 拼接的SQL字符串改變了設(shè)計(jì)者原來(lái)的意圖，執(zhí)行了如泄露、改變數(shù)據(jù)等操作，甚至控制數(shù)據(jù)庫(kù)服務(wù)器，?SQL Injection與Command Injection等攻擊包括在內(nèi)

2、跨站腳本攻擊（XSS或css）

??? 跨站腳本(Cross-Site Scripting)是指遠(yuǎn)程WEB頁(yè)面的html代碼可以插入具有惡意目的的數(shù)據(jù)，?? 當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的惡意腳本將被解釋執(zhí)行，從而對(duì)客戶端用戶造成傷害。簡(jiǎn)稱CSS或XSS

3、沒(méi)有限制URL訪問(wèn)

系統(tǒng)已經(jīng)對(duì)URL的訪問(wèn)做了限制，但這種限制卻實(shí)際并沒(méi)有生效。攻擊者能夠很容易的就偽造
請(qǐng)求直接訪問(wèn)未被授權(quán)的頁(yè)面

4、越權(quán)訪問(wèn)

用戶對(duì)系統(tǒng)的某個(gè)模塊或功能沒(méi)有權(quán)限，通過(guò)拼接URL或Cookie欺騙來(lái)訪問(wèn)該模塊或功能

5、泄露配置信息

服務(wù)器返回的提示或錯(cuò)誤信息中出現(xiàn)服務(wù)器版本信息泄露、程序出錯(cuò)泄露物理路徑、程序查詢
出錯(cuò)返回SQL語(yǔ)句、過(guò)于詳細(xì)的用戶驗(yàn)證返回信息。

6、不安全的加密存儲(chǔ)

常見(jiàn)的問(wèn)題是不安全的密鑰生成和儲(chǔ)存、不輪換密鑰，和使用弱算法。使用弱的或者不帶salt?
的哈希算法來(lái)保護(hù)密碼也很普遍。外部攻擊者因訪問(wèn)的局限性很難探測(cè)這種漏洞。他們通常
必須首先破解其他東西以獲得需要的訪問(wèn)。

7、傳輸層保護(hù)不足

在身份驗(yàn)證過(guò)程中沒(méi)有使用SSL / TLS，因此暴露傳輸數(shù)據(jù)和會(huì)話ID，被攻擊者截聽(tīng)，或使
用過(guò)期或者配置不正確的證書。

8、登錄信息提示

用戶登錄提示信息會(huì)給攻擊者一些有用的信息，作為程序的開(kāi)發(fā)人員應(yīng)該做到對(duì)登錄提示信
息的模糊化，以防攻擊者利用登錄得知用戶是否存在

9、重復(fù)提交請(qǐng)求

程序員在代碼中沒(méi)有對(duì)重復(fù)提交請(qǐng)求做限制，這樣就會(huì)出現(xiàn)訂單被多次下單，帖子被重
復(fù)發(fā)布。惡意攻擊者可能利用此漏洞對(duì)網(wǎng)站進(jìn)行批量灌水，致使網(wǎng)站癱瘓

10、網(wǎng)頁(yè)腳本錯(cuò)誤

訪問(wèn)者所使用的瀏覽器不能完全支持頁(yè)面里的腳本，形成“腳本錯(cuò)誤”，也就是網(wǎng)站中的腳
本沒(méi)有被成功執(zhí)行。遇到“腳本錯(cuò)誤”時(shí)一般會(huì)彈出一個(gè)非常難看的腳本運(yùn)行錯(cuò)誤警告窗口

部署網(wǎng)站安全防護(hù)措施：

操作系統(tǒng)作為抵御非法攻擊的第一道防線，對(duì)確保web安全發(fā)揮著非常重要的作用。主要包括以下幾個(gè)方面：對(duì)系統(tǒng)補(bǔ)丁進(jìn)行實(shí)時(shí)更新，防止非法分子依靠系統(tǒng)漏洞進(jìn)行攻擊。對(duì)不必要的通訊端口進(jìn)行關(guān)閉處理，以有效降低惡意攻擊的入侵通口。對(duì)密碼管理制度進(jìn)行規(guī)范處理。對(duì)服務(wù)器上的各個(gè)登陸密碼進(jìn)行統(tǒng)一生成與集中處理。在進(jìn)行軟件與組件安裝時(shí)，應(yīng)認(rèn)真謹(jǐn)慎，關(guān)閉不必要的服務(wù)器，以有效降低安全隱患。遵循最小權(quán)限原則設(shè)置文件系統(tǒng)，以有效避免跨站腳本攻擊與提權(quán)操作。

總結(jié)

以上是生活随笔為你收集整理的Web基础知识（一）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。