51Testing软件测试论坛

标题: web安全（web应用安全） [打印本页]

作者: My_JIE 时间: 2018-4-26 16:50
标题: web安全（web应用安全）
甲方和乙方：

甲方：腾讯阿里等，需要安全服务的公司

乙方：提供安全服务、产品而服务型安全公司（绿盟、知道创宇、安天等）

Web与二进制：

web：研究web安全

二进制：研究如客户端安全等

web安全问题：

SQL注入、XSS(跨站脚本攻击)

web安全的本质是信任问题：由于信任，正常处理用户恶意输入导致问题产生，非预期的输入

访问网址的过程：

1.输入网址

2.浏览器查找域名的IP地址

3.浏览器给web服务器发送一个HTTP请求

4.服务端处理请求

5.服务端发回一个HTTP响应

6.服务器渲染展示HTML

URL（统一资源定位器）
[attach]114619[/attach]

http/https：

https数据请求进行了加密（ssl加密）

Cookie:
[attach]114620[/attach]

Session:

[attach]114621[/attach]
Session/Cookie:

Cookie数据保存在客户端浏览器，Session保存在服务器，

服务端保存机制需要在客户端做标记，所以Session可能借助Cookie机制

Cookie通常用于客户端保存用户的登录状态

浏览器特性与安全策略

同源策略

同源策略规定：不同域的客户端脚本在没明确授权的情况下，不能读写对方的资源

同域/不同域
[attach]114622[/attach]

授权：

通过HTTP响应头返回的字段进行设置

Access-Control-Allow-Origin:http://www.xxx.com

沙盒框架（Sandboxed frame）

<iframe style="width:800px;height:600px" src="https://www.baidu.com/" sandbox="allow-forms allow-scripts">

[attach]114623[/attach]
flash安全沙箱
[attach]114624[/attach]

Cookie安全策略
[attach]114625[/attach]

内容安全策略（Content Security Policy，CSP）

通过编码在HTTP响应头中的指令来实施策略

[attach]114626[/attach]

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)