Web 应用程序安全性.docxVIP

Web 应用程序安全性：测试漏洞Web 的应用日益广泛，而安全性却越来越低。事实上，Web Application Security Consortium (WASC) 在 2009 年初就估计，所有 Web 站点中有 87% 是有漏洞，会被攻击的（有关更多信息，请参见 参考资源 中的链接）。尽管一些公司请得起外部安全分析师来测试 exploit，但不是每家公司都有财力花 2~4 万美元做外部安全审计。相反，组织变得依赖于自己的开发人员了解这些威胁和确保代码没有任何此类漏洞。常用缩写词HTML（Hypertext Markup Language）：超文本标记语言 SQL（Structured Query Language）：结构化查询语言 URL（Uniform Resource Locator）：统一资源定位符 要编写安全的代码，必须首先了解您的应用面临的威胁。本文讨论一些比较流行的漏洞，比如跨站脚本编程和 SQL 注入，并介绍一些工具，可以用来帮助您不仅保护站点还保护那些支持站点的数据和网络。本文不旨在成为安全分析师的替代，也不讲授核心安全技能。而是着重于教您如何找到代码中的潜在 exploit 并修复漏洞。常见漏洞首先，需要了解一些您要寻找的漏洞。第一个漏洞是最流行的：跨站脚本编程（cross-site scripting，XSS）。XSS 由注入 Web 站点的恶意脚本而导