Web基础知识（一）

一，什么是Web应用程序

1，Web应用程序的定义

2，典型的三种Web应用程序

3，应用程序，软件，小程序，APP的区别

4，应用软件的分类

二，Web应用程序体系结构

三，Web应用程序功能与安全隐患的对应关系

四，Web程序三层架构

五，Web应用通常存在的10大安全问题

一，什么是Web应用程序

1，Web应用程序的定义

Web应用程序是一种可以通过Web访问的应用程序。Web应用程序的一个最大好处是用户可以很容易访问应用程序。用户只需要有浏览器即可，不需要再安装其他软件

2，典型的三种Web应用程序

桌面应用程序（QQ，Office）

Web应用程序（京东，天猫）

嵌入式应用程序（安卓，iphone）

3，应用程序，软件，小程序，APP的区别

应用程序

通俗一点理解，应用程序是为使用者提供与电脑沟通所开发出来的程序软件。

应用程序是用户选择安装的程序总称，通常包括驱动程序的进程，比如看图软件，解压缩软件等通用软件的进程。

软件

软件是一系列按照特定顺序组织的计算机数据和指令的集合。一般来讲软件被划分为系统软件，应用软件和介于这两者之间的中间件。

软件并不只是包括可以在计算机上运行的电脑程序，与这些程序相关的文档也被认为是软件的一部分。简单的说软件就是程序加文档的集合体。

小程序

是一种不需要下载安装即可以使用的的应用。

APP

手机软件，主要是指安装在智能手机上的软件，完善原始系统的不足与实现个性化，使手机完善其功能，为用户提供更丰富的使用体验的主要手段。

4，应用软件的分类

计算机软件总体分为两类：系统软件和应用软件。

系统软件是各类操作系统，如windows、Linux、UNIX等，还包括操作系统的补丁程序及硬件驱动程序，都是系统软件类。

应用软件可以细分的种类就更多了，如工具软件、游戏软件、管理软件等都属于应用软件类。

二，Web应用程序体系结构

三，Web应用程序功能与安全隐患的对应关系

四，Web程序三层架构

五，Web应用通常存在的10大安全问题

1、SQL注入

拼接的SQL字符串改变了设计者原来的意图，执行了如泄露、改变数据等操作，甚至控制数据库服务器， SQL Injection与Command Injection等攻击包括在内

2、跨站脚本攻击（XSS或css）

跨站脚本(Cross-Site Scripting)是指远程WEB页面的html代码可以插入具有恶意目的的数据，当浏览器下载该页面，嵌入其中的恶意脚本将被解释执行，从而对客户端用户造成伤害。简称CSS或XSS

3、没有限制URL访问

系统已经对URL的访问做了限制，但这种限制却实际并没有生效。攻击者能够很容易的就伪造
请求直接访问未被授权的页面

4、越权访问

用户对系统的某个模块或功能没有权限，通过拼接URL或Cookie欺骗来访问该模块或功能

5、泄露配置信息

服务器返回的提示或错误信息中出现服务器版本信息泄露、程序出错泄露物理路径、程序查询
出错返回SQL语句、过于详细的用户验证返回信息。

6、不安全的加密存储

常见的问题是不安全的密钥生成和储存、不轮换密钥，和使用弱算法。使用弱的或者不带salt
的哈希算法来保护密码也很普遍。外部攻击者因访问的局限性很难探测这种漏洞。他们通常
必须首先破解其他东西以获得需要的访问。

7、传输层保护不足

在身份验证过程中没有使用SSL / TLS，因此暴露传输数据和会话ID，被攻击者截听，或使
用过期或者配置不正确的证书。

8、登录信息提示

用户登录提示信息会给攻击者一些有用的信息，作为程序的开发人员应该做到对登录提示信
息的模糊化，以防攻击者利用登录得知用户是否存在

9、重复提交请求

程序员在代码中没有对重复提交请求做限制，这样就会出现订单被多次下单，帖子被重
复发布。恶意攻击者可能利用此漏洞对网站进行批量灌水，致使网站瘫痪

10、网页脚本错误

访问者所使用的浏览器不能完全支持页面里的脚本，形成“脚本错误”，也就是网站中的脚
本没有被成功执行。遇到“脚本错误”时一般会弹出一个非常难看的脚本运行错误警告窗口

部署网站安全防护措施：

操作系统作为抵御非法攻击的第一道防线，对确保web安全发挥着非常重要的作用。主要包括以下几个方面：对系统补丁进行实时更新，防止非法分子依靠系统漏洞进行攻击。对不必要的通讯端口进行关闭处理，以有效降低恶意攻击的入侵通口。对密码管理制度进行规范处理。对服务器上的各个登陆密码进行统一生成与集中处理。在进行软件与组件安装时，应认真谨慎，关闭不必要的服务器，以有效降低安全隐患。遵循最小权限原则设置文件系统，以有效避免跨站脚本攻击与提权操作。