代码编织梦想

目录

一,什么是Web应用程序

     1,Web应用程序的定义

     2,典型的三种Web应用程序

     3,应用程序,软件,小程序,APP的区别

     4,应用软件的分类

二,Web应用程序体系结构

三,Web应用程序功能与安全隐患的对应关系

四,Web程序三层架构

五,Web应用通常存在的10大安全问题


一,什么是Web应用程序

     1,Web应用程序的定义

            Web应用程序是一种可以通过Web访问的应用程序。Web应用程序的一个最大好处是用户可以很容易访问应用程序。用户只需要有浏览器即可,不需要再安装其他软件

     2,典型的三种Web应用程序

           桌面应用程序(QQ,Office)

           Web应用程序(京东,天猫)

           嵌入式应用程序(安卓,iphone)

     3,应用程序,软件,小程序,APP的区别

           应用程序

           通俗一点理解,应用程序是为使用者提供与电脑沟通所开发出来的程序软件。

           应用程序是用户选择安装的程序总称,通常包括驱动程序的进程,比如看图软件,解压缩软件等通用软件的进程。

           软件

           软件是一系列按照特定顺序组织的计算机数据和指令的集合。一般来讲软件被划分为系统软件,应用软件和介于这两者之间的中间件。

            软件并不只是包括可以在计算机上运行的电脑程序,与这些程序相关的文档也被认为是软件的一部分。简单的说软件就是程序加文档的集合体。

           小程序

           是一种不需要下载安装即可以使用的的应用。

            APP

           手机软件,主要是指安装在智能手机上的软件,完善原始系统的不足与实现个性化,使手机完善其功能,为用户提供更丰富的使用体验的主要手段。

     4,应用软件的分类

计算机软件总体分为两类:系统软件和应用软件。

系统软件是各类操作系统,如windows、Linux、UNIX等,还包括操作系统的补丁程序及硬件驱动程序,都是系统软件类。

应用软件可以细分的种类就更多了,如工具软件、游戏软件、管理软件等都属于应用软件类。

二,Web应用程序体系结构

 

三,Web应用程序功能与安全隐患的对应关系

 

四,Web程序三层架构

五,Web应用通常存在的10大安全问题

1、SQL注入

      拼接的SQL字符串改变了设计者原来的意图,执行了如泄露、改变数据等操作,甚至控制数据库服务器, SQL Injection与Command Injection等攻击包括在内


2、跨站脚本攻击(XSS或css)

    跨站脚本(Cross-Site Scripting)是指远程WEB页面的html代码可以插入具有恶意目的的数据,   当浏览器下载该页面,嵌入其中的恶意脚本将被解释执行,从而对客户端用户造成伤害。简称CSS或XSS


3、没有限制URL访问

系统已经对URL的访问做了限制,但这种限制却实际并没有生效。攻击者能够很容易的就伪造
请求直接访问未被授权的页面

4、越权访问

用户对系统的某个模块或功能没有权限,通过拼接URL或Cookie欺骗来访问该模块或功能

5、泄露配置信息

服务器返回的提示或错误信息中出现服务器版本信息泄露、程序出错泄露物理路径、程序查询
出错返回SQL语句、过于详细的用户验证返回信息。

6、不安全的加密存储

常见的问题是不安全的密钥生成和储存、不轮换密钥,和使用弱算法。使用弱的或者不带salt 
的哈希算法来保护密码也很普遍。外部攻击者因访问的局限性很难探测这种漏洞。他们通常
必须首先破解其他东西以获得需要的访问。

7、传输层保护不足

在身份验证过程中没有使用SSL / TLS,因此暴露传输数据和会话ID,被攻击者截听,或使
用过期或者配置不正确的证书。

8、登录信息提示

用户登录提示信息会给攻击者一些有用的信息,作为程序的开发人员应该做到对登录提示信
息的模糊化,以防攻击者利用登录得知用户是否存在

9、重复提交请求

程序员在代码中没有对重复提交请求做限制,这样就会出现订单被多次下单,帖子被重
复发布。恶意攻击者可能利用此漏洞对网站进行批量灌水,致使网站瘫痪

10、网页脚本错误


访问者所使用的浏览器不能完全支持页面里的脚本,形成“脚本错误”,也就是网站中的脚
本没有被成功执行。遇到“脚本错误”时一般会弹出一个非常难看的脚本运行错误警告窗口

部署网站安全防护措施:

操作系统作为抵御非法攻击的第一道防线,对确保web安全发挥着非常重要的作用。主要包括以下几个方面:对系统补丁进行实时更新,防止非法分子依靠系统漏洞进行攻击。对不必要的通讯端口进行关闭处理,以有效降低恶意攻击的入侵通口。对密码管理制度进行规范处理。对服务器上的各个登陆密码进行统一生成与集中处理。在进行软件与组件安装时,应认真谨慎,关闭不必要的服务器,以有效降低安全隐患。遵循最小权限原则设置文件系统,以有效避免跨站脚本攻击与提权操作。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heyingcheng/article/details/127340802

web开发基础知识(一)_那些很冒险的梦丶的博客-爱代码爱编程

集群与分布式: 1、相同点:集群和分布式都是需要使用多台服务器进行处理的。 2、区别:集群是每台服务器都具有相同的功能,处理请求时时调用哪台服务器都可以,主要起分流的作用。分布式是将不同的业务放到不同的服务器中,处理一个

1.web基础知识_jizhi1212的博客-爱代码爱编程_web基础

一、web简介 第一节 web介绍 1.【web发展史】 web1.0 ① 个人网站、门户站点,只能浏览不能编辑 ② 漏洞:SQL注入、上传漏洞、文件包含、挂马、暗链、命令执行     主要针对web服务器 web2.0 ① blog、微博,可以编辑,与其他用户交流 ② 漏洞:钓鱼、框架漏洞、逻辑漏洞、URL跳转、数据劫持、CSRF、XSS     主要针

web前端基础知识_翱翔的江鸟的博客-爱代码爱编程_web前端基本知识

1. 前端基础知识 文件分类 文件类型中文备注SGML标准通用标记语言HTML和XML的前身HTML超本文标记语言B/S(浏览器/服务器)XML扩展标记语言加载数据/配置信息 XML(扩展标记语言) 装载有格式的数据

web前端基础知识整理(一)_潇遥快乐的博客-爱代码爱编程_前端知识点

1. typeof返回的数据类型 typeof返回的数据类型包括undefined、string、number、boolean、symbol、Object、Function类型。 2. 检查数组的方式 isArray(

Web后端基础知识-爱代码爱编程

文章目录 前言一、web基础知识1.web开发使用java的优势2.web前后端分离有什么好处?谈一下各自的职责。3.POJO和Java Bean?4.Tomcat容器(应用服务器)谈一下?5.Servlet谈一下?6.Servlet的生命周期谈一下?7.Servlet的三大作用域谈一下?8.Cookie和Session的技术的理解?9.10.11

web(一)基础知识-爱代码爱编程

文章目录 web开发(一)第一章web开发简介web概念:web开发网站访问过程第二章网页文件HTML语法基础HTML标签的三个要点HTML基本结构标签的分类HTML元素标签属性标题标签和段落标签网页元素标题标签段落标签图片标签,相对路径和绝对路径超链接标签无序列表和有序列表注意事项与编码规范第三章网页中插入表格表格的相关属性网页中插入表单表单标签

Web基础知识-爱代码爱编程

1,Web基本概念和常识         ①web应用:网站(广义上的PC,手机app)         ②浏览器(Browser):也称用户代理,web客户端,主要有IE、Edge、Chrome、Firefox、腾讯浏览器,360浏览器等……我们在初学web的过程中最好使用chrome浏览器         ③web服务器(web server):

Web安全常见基本知识-爱代码爱编程

1、XSS 跨站式脚本攻击。Cross-Site Scripting。因为与 CSS 重名所以变更为 XSS。 反射性 通过在传参处植入代码,实现数据的传输。 存储型 借助存储能力,植入恶意代码。当用户读取该输入时,如果是直接运行到页面。就会把恶意脚本一并执行。 常见危害 获取页面数据获取Cookies劫持前端逻辑发送请求偷取网页数据偷取用户

web渗透基础知识-爱代码爱编程

服务器:24小时不关机不断网的电脑,上面搭建着某些服务(网站) 三大系统:window Linux MacOS windows对服务器性能要求高 开源:源码开放——任何人都可以修改代码 kali 、 Centos 、ubantu   比如安卓就是Linux 快照:把当前状态拍照,以便后边恢复原来的状态 win+R ->出来伪DOX,cm

web开发基础知识-爱代码爱编程

web开发基础知识学习 一、网页开发三剑客 ​ 我们看到的网页通过代码来实现的 ,这些代码由浏览器解释并渲染成你看到的丰富多彩的页面效果。 这个浏览器就相当于Python的解释器,专门负责解释和执行(渲染)网页代码。写网页的代码是专门的语言, 主要分为Hmtl \ CSS \ JavaScript, 被称为网页开发三剑客,分别作用如下: Html:超

CTF基础知识-爱代码爱编程

文章目录 一、CTF的基础知识 1、简介 2.竞赛 3.比赛形式 4.题目 二、Web (一)信息泄露 1.目录遍历 2.PHPINFO 3.备份文件下载 一、CTF的基础知识 (一)、CTF简介 1.打开ctf简介,开启题目,进入到页面 2.打开附属的题目,点获得更好的阅读体验,在下方即可得到答案flag3.把flag填入,提交 ( 二)、竞赛