2022年CISP教材知識點整理：Web應(yīng)用安全

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

9.4知識子域：應(yīng)用安全

應(yīng)用安全是信息安全的一部分，包括應(yīng)用程序運行安全和應(yīng)用資源安全兩個方面

應(yīng)用程序運行安全是建立在對應(yīng)用軟件的需求、設(shè)計、編碼、測試以及廢棄等生命周期的每一個階段加強安全防護的基礎(chǔ)上，從而達到降低應(yīng)用軟件的安全漏洞問題的目的

對應(yīng)用資源安全防護而言，需要保證合法用戶能夠通過安全策略合法的訪問資源，同時也阻止攻擊者訪問、篡改任何受保護的資源。

應(yīng)用安全不僅僅強調(diào)開發(fā)安全的應(yīng)用系統(tǒng)，同時也應(yīng)該強調(diào)應(yīng)用系統(tǒng)的安全部署和安全運維

9.4.1 Web應(yīng)用安全

1.Web體系架構(gòu)

Web體系架構(gòu)包括傳輸協(xié)議（http、https）、服務(wù)端軟件（Apache、IIS等）、數(shù)據(jù)庫、應(yīng)用程序（使用PHP、Java等語言開發(fā)）、客戶端（FireFox、Chrome等）

（1）Web傳輸協(xié)議

超文本傳輸協(xié)議（Hypertext Transfer Protocol，HTTP）

目前最常用的HTTP協(xié)議是HTTP/1.1

缺乏安全機制，導(dǎo)致了大量的安全問題，包括拒絕服務(wù)、電子欺騙、嗅探

HTTP協(xié)議存在以下安全問題

明文傳輸數(shù)據(jù)

弱驗證

缺乏狀態(tài)跟蹤

在HTTP的基礎(chǔ)上加入了SSL協(xié)議，就是安全套接字層超文本傳輸協(xié)議（Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS）

（2）服務(wù)端軟件

Web服務(wù)端軟件（廣泛使用的Apache、IIS、Tomcat、WebSphere、WebLogic等）

Web服務(wù)端軟件面臨的安全問題來自兩個方面：一是軟件本身的漏洞；一是軟件配置上的缺陷

（3）客戶端軟件

Web應(yīng)用的客戶端主要是各種瀏覽器

2.Web應(yīng)用的安全問題

（1）SQL注入

SQL注入攻擊的防范可以從程序設(shè)計、代碼編寫、安全部署和使用3個方面采取措施

程序設(shè)計

代碼編寫

安全部署和使用

（2）跨站腳本

跨站腳本（Cross Site Script，XSS）

跨站腳本的防御措施主要是針對提交的信息進行嚴格過濾

（3）失效的驗證和會話管理

失效的驗證和會話管理（Broken Authentication and Session Management）

（4）不安全的對象直接引用

不安全的對象直接引用（Insecure Direct Object References，IDOR）

（5）跨站請求偽造

跨站請求偽造（Cross Site Request Forgery，CSRF）

（6）不安全的配置管理

（7）不安全的密碼存儲

（8）錯誤的訪問控制

（9）傳輸保護不足

（10）未經(jīng)驗證的網(wǎng)址重定向

（11）不恰當?shù)漠惓Ｌ幚?/p>

（12）拒絕服務(wù)攻擊

3.Web安全防護技術(shù)

（1）Web應(yīng)用防火墻

Web應(yīng)用防火墻（Web Application Firewall，WAF）

很多Web應(yīng)用防火墻產(chǎn)品是集Web防護、網(wǎng)頁保護、負載均衡等功能與一體的Web整體安全防護設(shè)備

常見的功能包括以下幾種

審計功能

訪問控制設(shè)備

Web應(yīng)用加固工具

Web應(yīng)用防火墻一般部署在Web服務(wù)旗和接入網(wǎng)之間，且為串行接入

如網(wǎng)絡(luò)中還存在防火墻，則Web應(yīng)用防火墻一般部署在防火墻之后，Web服務(wù)器之前

部分WAF產(chǎn)品能夠參與到安全事件發(fā)生的全過程，具備事前防范、事中防護、事后補救的能力

（2）網(wǎng)頁防篡改

網(wǎng)頁防篡改產(chǎn)品的技術(shù)原理主要包括幾種

定時循環(huán)技術(shù)

摘要循環(huán)技術(shù)

事件觸發(fā)防范技術(shù)

底層過濾技術(shù)

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除