1 安全与安全圈的认识
中国黑客的发展过程:1990年代初,部分人开始研究黑客技术 1997-1999年,黑客团队涌现,进入黄金时代, 21世纪初,黑客工具傻瓜化,门槛降低,黑客精神不在…
圈内熟知的安全公司: 绿盟、知道创宇、安天、启明星辰、安恒、天融信…
安全公司可以分为两类:
甲方:如腾讯、阿里等需要安全服务的公司(这类公司有自己的互联网产品也有自己的安全团队,安全团队就是保障自己的产品安全)
乙方:提供安全服务、产品的服务型安全公司(这类公司主要是提供安全服务和安全产品)
安全的技术方向:
web安全:研究web应用安全
二进制安全:研究如客户端安全等
2 web应用的发展与web安全的发展
Web应用经历了开始、1.0以及现在3.0概念的出现,不断的发展:
20世纪60年代IBM的GML(通用标记语言)以及发展到后来的SGML(标准通用标记语言)
20世纪90年代,HTML的出现 浏览器的出现与发展
2004之后,XMLHttpRequest的出现将Web推向2.0时代 而现在,开始出现Web3.0的概念
Web安全跟随着Web应用的发展也不断发展着:
Web 1.0时代,更多被关注的是服务器端的脚本的安全问题,如SQL注入等
Web 2.0时代,2005年Samy蠕虫的爆发震惊了世界,Web安全主战场由服务器端转换到浏览器
SQL注入和XSS的出现发别是Web安全史上的两个里程碑
3 web安全隐患与本质
Web安全的本质是信任问题 :
由于信任,正常处理用户恶意的输入导致问题的产生
非预期的输入
安全是木桶原理,短的那块板决定的木桶世纪能装多少水,同样的,假设把99%的问题都处理了,那么1%的余留会是造成安全问题的那个短板