第2章 核心防御機(jī)制

Web應(yīng)用程序的基本安全問題（所有用戶輸入都不可信）致使應(yīng)用程序?qū)嵤┐罅堪踩珯C(jī)制來(lái)抵御攻擊。盡管其設(shè)計(jì)細(xì)節(jié)與執(zhí)行效率可能千差萬(wàn)別，但幾乎所有應(yīng)用程序采用的安全機(jī)制在概念上都具有相似性。

Web應(yīng)用程序采用的防御機(jī)制由以下幾個(gè)核心因素構(gòu)成。

? 處理用戶訪問應(yīng)用程序的數(shù)據(jù)與功能，防止用戶獲得未授權(quán)訪問。

? 處理用戶對(duì)應(yīng)用程序功能的輸入，防止錯(cuò)誤輸入造成不良行為。

? 防范攻擊者，確保應(yīng)用程序在成為直接攻擊目標(biāo)時(shí)能夠正常運(yùn)轉(zhuǎn)，并采取適當(dāng)?shù)姆烙c攻擊措施挫敗攻擊者。

? 管理應(yīng)用程序本身，幫助管理員監(jiān)控其行為，配置其功能。

鑒于它們?cè)诮鉀Q核心安全問題過程中所發(fā)揮的重要作用，一個(gè)典型應(yīng)用程序的絕大多數(shù)受攻擊面也由這些機(jī)制構(gòu)成。知己知彼是戰(zhàn)爭(zhēng)的首要法則，那么防御攻擊者向應(yīng)用程序發(fā)動(dòng)有效攻擊的重要前提是徹底了解這些機(jī)制。無(wú)論讀者在滲透測(cè)試方面是否有經(jīng)驗(yàn)，都應(yīng)花時(shí)間了解這些核心機(jī)制在遇到的每一種應(yīng)用程序中的工作原理，并確定使其易于受到攻擊的弱點(diǎn)。