2022年CISP教材知識點整理：Web應用安全

CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

9.4知識子域：應用安全

應用安全是信息安全的一部分，包括應用程序運行安全和應用資源安全兩個方面

應用程序運行安全是建立在對應用軟件的需求、設計、編碼、測試以及廢棄等生命周期的每一個階段加強安全防護的基礎上，從而達到降低應用軟件的安全漏洞問題的目的

對應用資源安全防護而言，需要保證合法用戶能夠通過安全策略合法的訪問資源，同時也阻止攻擊者訪問、篡改任何受保護的資源。

應用安全不僅僅強調開發(fā)安全的應用系統(tǒng)，同時也應該強調應用系統(tǒng)的安全部署和安全運維

9.4.1 Web應用安全

1.Web體系架構

Web體系架構包括傳輸協(xié)議（http、https）、服務端軟件（Apache、IIS等）、數(shù)據庫、應用程序（使用PHP、Java等語言開發(fā)）、客戶端（FireFox、Chrome等）

（1）Web傳輸協(xié)議

超文本傳輸協(xié)議（Hypertext Transfer Protocol，HTTP）

目前最常用的HTTP協(xié)議是HTTP/1.1

缺乏安全機制，導致了大量的安全問題，包括拒絕服務、電子欺騙、嗅探

HTTP協(xié)議存在以下安全問題

明文傳輸數(shù)據

弱驗證

缺乏狀態(tài)跟蹤

在HTTP的基礎上加入了SSL協(xié)議，就是安全套接字層超文本傳輸協(xié)議（Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS）

（2）服務端軟件

Web服務端軟件（廣泛使用的Apache、IIS、Tomcat、WebSphere、WebLogic等）

Web服務端軟件面臨的安全問題來自兩個方面：一是軟件本身的漏洞；一是軟件配置上的缺陷

（3）客戶端軟件

Web應用的客戶端主要是各種瀏覽器

2.Web應用的安全問題

（1）SQL注入

SQL注入攻擊的防范可以從程序設計、代碼編寫、安全部署和使用3個方面采取措施

程序設計

代碼編寫

安全部署和使用

（2）跨站腳本

跨站腳本（Cross Site Script，XSS）

跨站腳本的防御措施主要是針對提交的信息進行嚴格過濾

（3）失效的驗證和會話管理

失效的驗證和會話管理（Broken Authentication and Session Management）

（4）不安全的對象直接引用

不安全的對象直接引用（Insecure Direct Object References，IDOR）

（5）跨站請求偽造

跨站請求偽造（Cross Site Request Forgery，CSRF）

（6）不安全的配置管理

（7）不安全的密碼存儲

（8）錯誤的訪問控制

（9）傳輸保護不足

（10）未經驗證的網址重定向

（11）不恰當?shù)漠惓Ｌ幚?/p>

（12）拒絕服務攻擊

3.Web安全防護技術

（1）Web應用防火墻

Web應用防火墻（Web Application Firewall，WAF）

很多Web應用防火墻產品是集Web防護、網頁保護、負載均衡等功能與一體的Web整體安全防護設備

常見的功能包括以下幾種

審計功能

訪問控制設備

Web應用加固工具

Web應用防火墻一般部署在Web服務旗和接入網之間，且為串行接入

如網絡中還存在防火墻，則Web應用防火墻一般部署在防火墻之后，Web服務器之前

部分WAF產品能夠參與到安全事件發(fā)生的全過程，具備事前防范、事中防護、事后補救的能力

（2）網頁防篡改

網頁防篡改產品的技術原理主要包括幾種

定時循環(huán)技術

摘要循環(huán)技術

事件觸發(fā)防范技術

底層過濾技術

注：以上內容來源于網絡，如有侵權，可聯(lián)系客服刪除