第一章 什麼是Web安全

1.1 Web安全的發展歷程

略

1.2 Web應用程式中存在的風險及預防

1.2.1 Web應用程式的安全套接層（SSL）的應用

大多數應用程式都聲稱其安全可靠，因為它們使用SSL（Secure Socket Layer, SSL安全套接層）

SSL使用128位安全套接層技術設計，是為網路通訊提供安全和資料完整性的一種安全協議。SSL在傳輸層對網路連線進行加密，可以防止未授權使用者檢視您的人任何資訊。它提供以下服務：

1. 認證使用者和伺服器，確保資料傳送到正確的客戶機和伺服器

2. 加密資料以防止資料中途被竊取

3. 維護資料的完整性，確保資料在傳輸過程中不被改變。

實際上，大多數Web應用程式並不安全，雖然SSL已經得到了廣泛應用，並且會定期進行PCI（支付卡行業標準）。

常見的Web應用程式漏洞型別有以下幾種：

1. 跨站點指令碼
2. 跨站點請求偽造
3. 資訊洩露
4. 不完善的訪問控制措施
5. 不完整的身份驗證措施
6. SQL注入

SSL是一種出色的技術，可為使用者瀏覽器和Web伺服器間傳輸的資料提供機密性和完整性保護功能。它有助於防止資訊洩露，並可以保證使用者處理的Web伺服器的安全性。但是SSL並不能抵禦直接針對某個應用程式的伺服器或者客戶端元件的攻擊，而許多成功的攻擊恰恰屬於這種型別。

所以無論是否使用SSL，大多數Web應用程式仍然存在安全漏洞。

1.2.2 Web應用程式安全的核心問題：

1. 使用者並不限於使用一種Web瀏覽器訪問應用程式
2. 使用者可以干預客戶端和伺服器間傳送的所有資料，包括請求引數，Cookies和HTTP訊息頭。可以輕易避開客戶端執行的任何安全控制元件，如輸入確認驗證。
3. 絕大多數針對Web應用程式的攻擊都涉及向伺服器提交輸入，旨在引起一些應用程式設計者無法預料或不希望出現的事件。

1.3小結