安全是Web应用程序不容忽视的一个重要因素,而在Web应用开发中,一些开发者由于缺乏安全方面的意识,导致Web应用存在风险。下面来介绍Web开发中常见的一些安全误区。

如果我们使用Web框架,那么不必担心安全问题

一些流行的框架比如Rails和 Django在编写之初已考虑到安全性问题,并帮助防止常见的漏洞问题。然而,它们并不能阻止业务逻辑出现的陷,比如设置产品数量为负数,这就可能给攻击者提供了机会。如果你以非常规的方式使用该框架,它们会努力去保护你,此外,许多安全功能需要由开发者手动实现。

我不是很有趣,没人想要攻击我

即便你的公司或应用不是很有价值,访问者或者黑客也可能会攻击您的网站。如果你的网站能够被搜索引擎检索到,并且还有常见的漏洞,那么你的网站已不安全了,已经被攻击了。

比如,2008年,有一连串的自动ASPROX 蠕虫利用网站SQL注入漏洞,以致用户的电脑受到多个恶意脚本的攻击,直到今天仍然有许多网站受到影响。

我们已经有了备份,因此无后顾之忧

尽管网站被攻击后,备份可以帮助你恢复,但它绝不是一个网站安全性良好的、可行性的替代方案。

遭到黑客临时被攻击的网站可能会导致严重的后果,比如,被搜索引擎列入黑名单,敏感的用户数据被盗,网络钓鱼或蠕虫攻击你的访客。此外,即使你把网站备份了,也不能保证其不会再发生了。

它是一个内部网络,所以,安全并不重要

你永远也不能确保威胁不会来自某个雇员或者攻击者以某种方法来获得访问内部网络。

比如,公司内部的CRM或ERP的机密数据被心怀不满的初级员工或者因好奇心缺乏安全意识的员工、临时工因缺乏工作安全性而泄露?攻击者通过你的无线网或者互联网连接而获取网络访问?等等这些都会对你造成潜在威胁。

它是安全的,因为通过VPN连接

尽管用户使用安全的网络连接到你的应用程序,但这并不意味着你的应用程序本身就是安全的。正如我们第四条谈到的内部网络(恶意员工和网络漏洞)。

网站使用SSL,因此,它很安全

如果你的网站使用SSL,它会在你的网站和访问者浏览器之间传输加密数据,尽管它能防止他人拦截未加密的数据,但SSL却无法阻止攻击者利用漏洞来访问你的网站。

我想防火墙可以做到!

防火墙实施了一套规则能够控制访问者的IP地址或端口,但却无法阻止访问者利用漏洞访问你的网站。应用防火墙的作用是在HTTP请求级别上但不会查看请求的内容。当正确配置后,防火墙可以帮助减少特定的攻击,比如跨站点脚本或者SQL注入,但不会确保你免受攻击,无法解决根本性问题。更重要的是,黑客会采取很多方法来绕过Web应用防火墙。

我们做了渗透测试和源代码分析,因此不需要担心!

渗透测试和源代码分析是编写安全Web应用程序的基本组成部分,但它却不能“包治百病”。重要的是,你不能保证所有的漏洞都能被检测到,因此你需要确保编写安全代码。更重要的是,修复Bug是如此的昂贵,漏洞亦如此,你应该在渗透测试阶段尽可能多地查找漏洞。

热门书籍可以教你如何编写安全代码

截止到目前,你几乎不可能找到有关编写安全代码方面的编程书籍。开发者利用这些书籍学会Web应用程序开发,但却无法做到编写安全的Web应用,除非他们已经经历某个应用被黑客攻击或者其在Web安全方面感兴趣。

网络安全学习资料

【Web安全】Web开发中常见的安全误区相关推荐

  1. web开发中常见的安全漏洞及避免方法

    1.安全攻击 1.SQL.HTML.JS.OS命令注入 2.XSS跨站脚本攻击,利用站内信任的用户,在web页面插入恶意script代码 3.CSRF跨站请求伪造,通过伪装来自信任用户的请求来利用受信 ...

  2. java web开发常见问题_javaWeb开发中常见的问题

    1.修改表单提交的时候不好使可能是因为没写对应隐藏域的ID 2.el表达式在js代码中要加"",例如 "${}" 3.JavaScript中的函数也有重载的特性 ...

  3. 【前端实例代码】使用 HTML CSS实现指纹扫描仪特效动画效果 |前端开发 网页制作 基础入门教程 网页开发中常见的样式与特效,收藏起来肯定用的上~

    b站视频演示效果: [web前端特效源码]使用 HTML CSS 和 JavaScript 实现指纹扫描仪特效动画效果 |前端开发 网页制作 基础入门教程 效果图: 完整代码: <!DOCTYP ...

  4. PHP开发中常见的安全问题详解和解决方法

    PHP开发中常见的安全问题详解和解决方法 参考文章: (1)PHP开发中常见的安全问题详解和解决方法 (2)https://www.cnblogs.com/walblog/articles/83313 ...

  5. iOS开发中常见的一些异常

    iOS开发中常见的一些异常 参考文章: (1)iOS开发中常见的一些异常 (2)https://www.cnblogs.com/feng9exe/p/7244936.html 备忘一下.

  6. Android开发中常见的内存泄露案例以及解决方法总结

    Android开发中常见的内存泄露案例以及解决方法总结 参考文章: (1)Android开发中常见的内存泄露案例以及解决方法总结 (2)https://www.cnblogs.com/shen-hua ...

  7. 软件开发中 常见英文文档 缩写(转)

    软件开发中常见英文缩写和各类软件开发文档的英文缩写: 英文简写 文档名称 MRD market requirement document (市场需求文档) PRD product requiremen ...

  8. Java开发中常见的危险信号(中)

    本文来源于我在InfoQ中文站原创的文章,原文地址是:http://www.infoq.com/cn/news/2013/12/common-red-flags-in-java-1 Dustin Ma ...

  9. Java开发中常见的危险信号(下)

    本文来源于我在InfoQ中文站原创的文章,原文地址是:http://www.infoq.com/cn/news/2013/12/common-red-flags-in-java-3 Dustin Ma ...

最新文章

  1. C#最小化到托盘+双击托盘恢复+禁止运行多个该程序
  2. php mysql 数据回滚,PHP mysql事务回滚操作实例_PHP教程
  3. struct和class之间问题(+引发的个人思考,和对共用体思考)
  4. java学习里程碑_记录您的里程和社区运行情况:Java EE 7真实体验
  5. prop和attr在 jquery的
  6. 大二《数据结构》机考解题报告
  7. webservice 实现与his系统对接_[Share] EDI 及其他常见系统对接技术
  8. 高薪必备|Redis 基础、高级特性与性能调优
  9. 全球首发!惯性导航导论(剑桥大学)第一部分
  10. 【学习笔记】深入理解js原型和闭包(15)——闭包
  11. android应用程序开发_如何开始进行Android应用程序开发
  12. Android API下载与使用
  13. spring中注解及原理
  14. 中国近代史纲要复盘 | 第一章——第四章思维导图梳理(复习专用)
  15. 网秦上市前夕被央视曝光恶意吸费 网秦飞流否认
  16. android 特殊符号
  17. 特征偏度和异常值处理
  18. 手机设备唤醒计算机,手机遥控电脑开机神器!局域网唤醒App
  19. 铝板展开插件_钣金件快速绘图与展开程序CAD插件(钣金展开插件工具)Vr2.10 最新版...
  20. 【JS】数据结构之树结构

热门文章

  1. Excel:python结合Excel使用技巧经验总结之(将python输出的等间隔列数据直接粘贴复制存到物理表格内等)图文教程之详细攻略
  2. Python函数封装:利用正则表达式compile、findall对多组关键词进行模糊查询并返回统计个数,findall截取两个指定符号之间的内容
  3. DataScience:数据可视化的简介(意义+六大优势)、使用工具之详细攻略
  4. Paper:《Realtime Multi-Person 2D Pose Estimation using Part Affinity Fields ∗》翻译并解读
  5. Python语言学习之文件夹那些事:python和文件夹的使用方法之详细攻略
  6. DL之DNN优化技术:DNN优化器的参数优化—更新参数的四种最优化方法(SGD/Momentum/AdaGrad/Adam)的案例理解、图表可视化比较
  7. Matlab:基于Matlab通过GUI实现自动驾驶的车牌智能识别
  8. sklearn中的分类决策树
  9. Pandas matplotlib 无法显示中文
  10. qmake 之 CONFIG 与 QT 乱谈