大家經(jīng)常會聽到看到很多很多有關(guān)安全性方面的信息，可以說形形色色，對于在網(wǎng)絡(luò)安全方面不太專業(yè)的同志來說，有點眼花繚亂，理不出頭緒 。在這里，我來幫大家整理一下 。
以我個人多年來從事Web安全方面的工作經(jīng)驗及國外一些權(quán)威安全機(jī)構(gòu)對Web安全的層次性的理解，我們通常把它分為三個層次：
1、網(wǎng)絡(luò)安全 。如防火墻、路由器、網(wǎng)絡(luò)結(jié)構(gòu)等相關(guān)的安全問題；
2、系統(tǒng)與服務(wù)安全 。如Window/Linux/Unix系統(tǒng)本身的漏洞或運行于其上的服務(wù)的安全，象Apache/OpenSSL/Weblogic等本身的安全性漏洞；
3、Web應(yīng)用程序安全 。具體應(yīng)用程序的安全性漏洞，比如：某網(wǎng)站郵件系統(tǒng)因為存在腳本安全性問題，導(dǎo)致該郵件系統(tǒng)的用戶在收到具有惡意代碼的郵件時不知不覺的，其密碼與帳號信息被人竊取 。
說到這，大家應(yīng)該清楚，不管你是在任何地方看到有關(guān)計算機(jī)安全性問題的方方面面，都逃不出這三大部分，同時我也要向讀者聲明一下：在這里，我主要是給大家陸續(xù)的介紹上述第三部分內(nèi)容，即Web應(yīng)用程序安全性相關(guān)知識與技能 。
據(jù)權(quán)威搜索引擎公司統(tǒng)計數(shù)據(jù)顯示，目前70%以上的網(wǎng)站，或多或少的存在安全隱患，這里的安全隱患指的就是Web應(yīng)用程序的安全 。至于網(wǎng)絡(luò)、系統(tǒng)與服務(wù)的安全性問題，我個人認(rèn)為它的生存周期基本上是：發(fā)現(xiàn)->上報軟件開發(fā)商->打補(bǔ)丁->下載更新程序 。作為我們用戶，及時的給系統(tǒng)與服務(wù)打上最新的補(bǔ)丁，配合一定的防火墻安全策略，是可以基本保證其安全的 。但是Web應(yīng)用程序基本上是每個組織各持一套自己的程序，一切問題都必需自己動手去解決，恰恰因為此種特性，才導(dǎo)致目前運行于互聯(lián)網(wǎng)上的Web應(yīng)用的安全性普遍存在 。為什么呢？
因為只有少數(shù)組織或個人有能力駕馭網(wǎng)絡(luò)安全相關(guān)的技術(shù)與經(jīng)驗，而絕大多數(shù)的即使是專業(yè)做網(wǎng)站開發(fā)的公司也不一定有知識有能力或有意識去考慮安全性問題 。還要向讀者羅嗦一點是的：安全需要意識，沒有安全意識的組織與個人，是無法保證其開發(fā)出的產(chǎn)品的安全性的 。這一點很重要，很多人只是從媒體上看到聽到一些安全性問題，總覺得安全性問題離自己很遙遠(yuǎn)，其不知安全性問題正在對其造成越來越嚴(yán)重的破壞…… 。
前不久上海有一位朋友，銀行卡的資金不明轉(zhuǎn)出，且被人取走，報警后，經(jīng)警方多方調(diào)查跟蹤，最絡(luò)查明：其經(jīng)常使用網(wǎng)上銀行的筆記本電腦中了“灰鴿子木馬，導(dǎo)致其操作電腦的行為及其電腦上的現(xiàn)在資源完全暴露無遺 。有人要問：“灰鴿子是如何跑到其計算機(jī)上的呢？當(dāng)然進(jìn)去的途徑有多種，比如我們是網(wǎng)友，我通過QQ發(fā)給你讓你運行一下；或者我向你推薦一款你比較感興趣的免費軟件，該軟件內(nèi)部已經(jīng)綁定了“灰鴿子木馬程序……，還有一點很重要的就是通過網(wǎng)頁來傳播 。比如通過腳本注入的方式，強(qiáng)行的不停的提示你下載并運行該程序；通過上傳漏洞上傳到一個你信任的網(wǎng)站上，當(dāng)它提示你下載并安裝時，你發(fā)現(xiàn)它來自你信任的網(wǎng)站，于是就接受了……
總之，Web應(yīng)用程序是我們接觸最多最有可能通過帶來安全隱患的載體 。相信大家都或多或少的聽過關(guān)于各種Web應(yīng)用安全漏洞，諸如：跨site腳本攻擊(XSS)，SQL注入，上傳漏洞……形形色色 。
在這里我并不否認(rèn)各種命名與歸類方式，也不評價其命名的合理性與否，我想告訴大家的是，形形色色的安全漏洞中，其實所蘊含安全問題本質(zhì)往往只有幾個 。我個人把Web應(yīng)用程序安全性本質(zhì)問題歸結(jié)以下三個部分：
1、輸入/輸出驗證(Input/output validation)
2、角色驗證或認(rèn)證(Role authentication )

推薦閱讀

• 

  鵬之徙于南冥也，水擊三千里，摶扶搖而上者九萬里的意思 《逍遙游》原文
• 

  地球到太空經(jīng)過幾個層
• 

  紅棗枸杞桂圓茶的禁忌有哪些
• 

  放冷凍的螃蟹還可以吃嗎
• 

  京東快遞從武漢到襄陽多長時間
• 

  廣州南沙區(qū)南沙街中秋國慶前后預(yù)防接種號源放號及兒童保健門診停診
• 

  開加盟連鎖店好不好？不注意這些可能被坑
• 

  房屋抵押后房屋可以買賣嗎
• 

  廣州白云區(qū)石井街社區(qū)宮頸癌疫苗預(yù)約公眾號
• 

  非滅菌口罩是什么意思啊 非滅菌口罩是什么意思
• 

  彈彈堂困難副本怎么過,副本刷新時間整理
• 

  地牢獵手4破解版，iphone4好玩免費游戲未越獄
• 

  花生能補(bǔ)血？怎么制作花生果醬餅干？
• 

  手機(jī)怎樣連接路由器上網(wǎng),怎么連接路由器上網(wǎng)
• 

  什么條件是獨生子女
• 

  煙臺一對一輔導(dǎo)，煙臺好的一對一輔導(dǎo)中心有哪些學(xué)大教育補(bǔ)習(xí)好嗎

• 關(guān)于有些玩家說刪除了ITUNES　5.0安不上4.9的疑問
• qq空間訪問記錄刪除對方會知道嗎
• 固若金湯 管理員怎樣加強(qiáng)網(wǎng)站后臺安全訪問
• 簡單辦法解決無原裝充電器的問題
• 測試你防火墻是否安全
• 米粉卡使用常見問題匯總一覽
• 高溫天氣打藥謹(jǐn)防藥害問題
• Dr.Web殺毒恢復(fù)被移動文件的辦法
• 解決瑞星卡卡“無法找到組件”報錯問題
• stc法的要素包括哪些問題