第1章 Web應(yīng)用程序安全與風(fēng)險

Web應(yīng)用程序安全無疑是當(dāng)務(wù)之急，也是值得關(guān)注的話題。對相關(guān)各方而言，這一問題都至關(guān)重要。這里的相關(guān)各方包括因特網(wǎng)業(yè)務(wù)收入日益增長的公司、向Web應(yīng)用程序托付敏感信息的用戶，以及通過竊取支付信息或入侵銀行賬戶偷竊巨額資金的犯罪分子。可靠的信譽也非常重要，沒人愿意與不安全的Web站點進(jìn)行交易，也沒有組織愿意披露有關(guān)其安全方面的漏洞或違規(guī)行為的詳細(xì)情況。因此，獲取當(dāng)前Web應(yīng)用程序安全狀況的可靠信息不可小視。

本章簡要介紹Web應(yīng)用程序的發(fā)展歷程及它們提供的諸多優(yōu)點，并且列舉我們親身體驗過的在目前Web應(yīng)用程序中存在的漏洞，這些漏洞表明絕大多數(shù)應(yīng)用程序還遠(yuǎn)遠(yuǎn)不夠安全。本章還將描述Web應(yīng)用程序面臨的核心安全問題（即用戶可提交任意輸入的問題），以及造成安全問題的各種因素。最后討論Web應(yīng)用程序安全方面的最新發(fā)展趨勢，并預(yù)測其未來的發(fā)展方向。