WEB应用安全最佳实践信息安全检查.pptVIP

WEB应用安全培训  内容 所使用的资源: Web 应用基础概念 我们当前的安全手段 神话: “我们的网站是安全的” 您的应用安全吗？ WEB应用安全的现状: 不平衡的投资和回报 内容 什么是Web应用？ Web应用 VS Web网站 没有确切的定义 细小的区别 Web site 一般提供静态的信息，供访问浏览 不提供用户输入，或者用户的简单输入不影响网站的业务 Web application 部署在Web网站上 提供用户输入功能，用户的输入会影响网站的功能 Web服务器经常和后台的服务器交互，如应用服务器，数据库服务器等 Web 应用的组成架构 Client tier （客户端） 经常是WEB浏览器，如IE,FireFox等 提供对 HTML 的解析和展示 也经常包括一些客户端解析技术，如脚本等 Java?Script ActiveX Dynamic HTML 供用户输入，并展现返回的输出页面内容 Client tier: HTML (Hypertext Markup Language) 一种文本格式的信息 包含标签，属性，值等内容 一个HTML页面经常包括众多标签，每个标签都单独解析 很多的注入攻击都是寻求改变当前的HTML 内容或者是增加新的内容 Client tier: Scripting 客户端的脚本经常有如下的作用: 实现用户和网站之间的交互 检