第一章 Web 应用程序安全与风险

1.1 Web 应用程序的发展历程

• 早期：Web站点，静态文档
• 现在：应用程序

1.2 Web 应用程序安全

1.2.1 “本站点是安全的”

• 跨站点脚本
• 跨站点请求伪造
• 不完善的身份验证机制
• 信息泄露
• 不完善的访问控制措施
• 不完善的身份验证机制
• SQL注入

1.2.2 核心安全问题：用户可提交任意输入

1.2.3 关键问题因素

1.不成熟的安全意识
2.独立开发
3.欺骗性的简化
4.迅速发展的威胁形势
5.资源与时间限制
6.技术上强其所难
7.对功能的需求不断增强

1.2.4 新的安全边界

1.2.5 Web 应用程序安全的未来