web应用安全指南（一）

Web应用安全指南

为什么会产生安全隐患

安全隐患会产生什么样的影响

如何变成才能消除安全隐患

为什么某些方法能够消除安全隐患

带着这些问题看文章

第一章 什么是web应用的安全隐患

1.1安全隐患即“能用于作恶的BUG”

恶意利用的常见案例：

未经许可浏览用户个人信息等隐私信息

篡改网站的内容

使网页浏览者的计算机感染病毒

伪装成他人来窥探用户的隐私信息、发布文章、在线购物、肆意转账等

使目标网站不能访问

在网络游戏中让自己达到无敌状态，或非法获得游戏中的装备道具

在确认自己的个人信息时，能看到别人的个人信息

1.2为什么存在安全隐患会有问题

1.3产生安全隐患的原因

由BUG造成

由检验功能不完善造成

1.4安全性BUG与安全性功能

即使我们修复了所有的安全性bug，也不能保证程序绝对的安全。例如http和https。

1.5本书结构

第二章 搭建实验环境

跳过

第三章 Web安全基础：http、会话管理、同源策略

3.1http与会话管理

为什么要学习http？因为web应用的安全隐患有些源于网络的固有特性。

请求（request）：

请求行（Request Line）：请求行由请求方法，URL(uri)和协议版本组成，他们之间以空格间隔

请求头（header）格式为名称与值以冒号相隔，接受信息的主机名和端口号（80时可以省略）

返回（response）：

响应消息（response message）

状态行：常见的状态码，200（成功）、301和302（重定向）、404（找不到资源）、500（服务器内部发生错误）

响应头信息

响应正文（body）