Web开发框架的需要考虑的安全问题.docVIP

Web开发框架的安全问题 背景 Web是互联网的核心，是未来云计算和移动互联网的最佳载体，因此Web安全也是互联网公司安全业务中最重要的组成部分。 然而在当今的互联网行业中，对安全的重视程度普遍不高。有统计显示，互联网公司对安全的投入不足收入的百分之一。 在2011年岁末之际(当时本人还在家中备考 Web开发框架就相当于web应用程序的操作系统，它决定了一个应用程序的模型结构和编程风格。由于框架漏洞频发，struts任意代码执行、Django csrf token防御绕过、Cakephp代码执行等等各大语言编程框架都相继暴出高危漏洞，这说明对于编程框架的安全问题已经逐渐走入安全工作者的视线。 关键字：SQL注入，XSS，CSRF 常见的WEB安全攻击种类 1、SQL注入： 所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。 攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的查询,篡改命令。 　　它能够轻易的绕过防火墙直接访问数据库，甚至能够获得数据库所在的服务器的系统权限。在Web应用漏洞中，SQL Injection 漏洞的风险要高过其他所有的漏洞。 2、跨站脚本攻击(也称为XSS)： XSS 全称(Cross Site Scripting