2022年CISP教材知識(shí)點(diǎn)整理：Web應(yīng)用安全

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類(lèi)，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

9.4知識(shí)子域：應(yīng)用安全

應(yīng)用安全是信息安全的一部分，包括應(yīng)用程序運(yùn)行安全和應(yīng)用資源安全兩個(gè)方面

應(yīng)用程序運(yùn)行安全是建立在對(duì)應(yīng)用軟件的需求、設(shè)計(jì)、編碼、測(cè)試以及廢棄等生命周期的每一個(gè)階段加強(qiáng)安全防護(hù)的基礎(chǔ)上，從而達(dá)到降低應(yīng)用軟件的安全漏洞問(wèn)題的目的

對(duì)應(yīng)用資源安全防護(hù)而言，需要保證合法用戶能夠通過(guò)安全策略合法的訪問(wèn)資源，同時(shí)也阻止攻擊者訪問(wèn)、篡改任何受保護(hù)的資源。

應(yīng)用安全不僅僅強(qiáng)調(diào)開(kāi)發(fā)安全的應(yīng)用系統(tǒng)，同時(shí)也應(yīng)該強(qiáng)調(diào)應(yīng)用系統(tǒng)的安全部署和安全運(yùn)維

9.4.1 Web應(yīng)用安全

1.Web體系架構(gòu)

Web體系架構(gòu)包括傳輸協(xié)議（http、https）、服務(wù)端軟件（Apache、IIS等）、數(shù)據(jù)庫(kù)、應(yīng)用程序（使用PHP、Java等語(yǔ)言開(kāi)發(fā)）、客戶端（FireFox、Chrome等）

（1）Web傳輸協(xié)議

超文本傳輸協(xié)議（Hypertext Transfer Protocol，HTTP）

目前最常用的HTTP協(xié)議是HTTP/1.1

缺乏安全機(jī)制，導(dǎo)致了大量的安全問(wèn)題，包括拒絕服務(wù)、電子欺騙、嗅探

HTTP協(xié)議存在以下安全問(wèn)題

明文傳輸數(shù)據(jù)

弱驗(yàn)證

缺乏狀態(tài)跟蹤

在HTTP的基礎(chǔ)上加入了SSL協(xié)議，就是安全套接字層超文本傳輸協(xié)議（Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS）

（2）服務(wù)端軟件

Web服務(wù)端軟件（廣泛使用的Apache、IIS、Tomcat、WebSphere、WebLogic等）

Web服務(wù)端軟件面臨的安全問(wèn)題來(lái)自兩個(gè)方面：一是軟件本身的漏洞；一是軟件配置上的缺陷

（3）客戶端軟件

Web應(yīng)用的客戶端主要是各種瀏覽器

2.Web應(yīng)用的安全問(wèn)題

（1）SQL注入

SQL注入攻擊的防范可以從程序設(shè)計(jì)、代碼編寫(xiě)、安全部署和使用3個(gè)方面采取措施

程序設(shè)計(jì)

代碼編寫(xiě)

安全部署和使用

（2）跨站腳本

跨站腳本（Cross Site Script，XSS）

跨站腳本的防御措施主要是針對(duì)提交的信息進(jìn)行嚴(yán)格過(guò)濾

（3）失效的驗(yàn)證和會(huì)話管理

失效的驗(yàn)證和會(huì)話管理（Broken Authentication and Session Management）

（4）不安全的對(duì)象直接引用

不安全的對(duì)象直接引用（Insecure Direct Object References，IDOR）

（5）跨站請(qǐng)求偽造

跨站請(qǐng)求偽造（Cross Site Request Forgery，CSRF）

（6）不安全的配置管理

（7）不安全的密碼存儲(chǔ)

（8）錯(cuò)誤的訪問(wèn)控制

（9）傳輸保護(hù)不足

（10）未經(jīng)驗(yàn)證的網(wǎng)址重定向

（11）不恰當(dāng)?shù)漠惓Ｌ幚?/p>

（12）拒絕服務(wù)攻擊

3.Web安全防護(hù)技術(shù)

（1）Web應(yīng)用防火墻

Web應(yīng)用防火墻（Web Application Firewall，WAF）

很多Web應(yīng)用防火墻產(chǎn)品是集Web防護(hù)、網(wǎng)頁(yè)保護(hù)、負(fù)載均衡等功能與一體的Web整體安全防護(hù)設(shè)備

常見(jiàn)的功能包括以下幾種

審計(jì)功能

訪問(wèn)控制設(shè)備

Web應(yīng)用加固工具

Web應(yīng)用防火墻一般部署在Web服務(wù)旗和接入網(wǎng)之間，且為串行接入

如網(wǎng)絡(luò)中還存在防火墻，則Web應(yīng)用防火墻一般部署在防火墻之后，Web服務(wù)器之前

部分WAF產(chǎn)品能夠參與到安全事件發(fā)生的全過(guò)程，具備事前防范、事中防護(hù)、事后補(bǔ)救的能力

（2）網(wǎng)頁(yè)防篡改

網(wǎng)頁(yè)防篡改產(chǎn)品的技術(shù)原理主要包括幾種

定時(shí)循環(huán)技術(shù)

摘要循環(huán)技術(shù)

事件觸發(fā)防范技術(shù)

底層過(guò)濾技術(shù)

注：以上內(nèi)容來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除