web安全测试学习笔记（一）

标签：数据库   代理   基础   pps   cat   独立   传输   轨迹   用户体验   

web技术发展

静态web

动态web

• 应用程序
• 数据库
• 每人看到内容不同
• 根据用户输入返回不同结果

web攻击面

• network
• os
• webserver
• appserver
• web application
• database
• browser

http协议基础

• 明文

1. 无内建的机密性安全机制
2. 嗅探或代理截段可查看全部明文信息
3. https只能提高传输层安全

• 无状态

1. 每一次客户端和服务器端的通信都是独立的过程

2. web应用需要跟踪客户端会话（多步通信）
3. 不使用cookie的应用，客户端每次请求都要重新身份验证（不现实）
4. session用于在用户身份验证后跟踪用户行为轨迹
   提高用户体验，但增加了攻击向量

web安全测试学习笔记（一）

标签：数据库   代理   基础   pps   cat   独立   传输   轨迹   用户体验   

原文地址：http://www.cnblogs.com/longronglang/p/7265782.html