CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
9.4知识子域:应用安全
应用安全是信息安全的一部分,包括应用程序运行安全和应用资源安全两个方面
应用程序运行安全是建立在对应用软件的需求、设计、编码、测试以及废弃等生命周期的每一个阶段加强安全防护的基础上,从而达到降低应用软件的安全漏洞问题的目的
对应用资源安全防护而言,需要保证合法用户能够通过安全策略合法的访问资源,同时也阻止攻击者访问、篡改任何受保护的资源。
应用安全不仅仅强调开发安全的应用系统,同时也应该强调应用系统的安全部署和安全运维
9.4.1 Web应用安全
1.Web体系架构
Web体系架构包括传输协议(http、https)、服务端软件(Apache、IIS等)、数据库、应用程序(使用PHP、Java等语言开发)、客户端(FireFox、Chrome等)
(1)Web传输协议
超文本传输协议(Hypertext Transfer Protocol,HTTP)
目前最常用的HTTP协议是HTTP/1.1
缺乏安全机制,导致了大量的安全问题,包括拒绝服务、电子欺骗、嗅探
HTTP协议存在以下安全问题
明文传输数据
弱验证
缺乏状态跟踪
在HTTP的基础上加入了SSL协议,就是安全套接字层超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer,HTTPS)
(2)服务端软件
Web服务端软件(广泛使用的Apache、IIS、Tomcat、WebSphere、WebLogic等)
Web服务端软件面临的安全问题来自两个方面:一是软件本身的漏洞;一是软件配置上的缺陷
(3)客户端软件
Web应用的客户端主要是各种浏览器
2.Web应用的安全问题
(1)SQL注入
SQL注入攻击的防范可以从程序设计、代码编写、安全部署和使用3个方面采取措施
程序设计
代码编写
安全部署和使用
(2)跨站脚本
跨站脚本(Cross Site Script,XSS)
跨站脚本的防御措施主要是针对提交的信息进行严格过滤
(3)失效的验证和会话管理
失效的验证和会话管理(Broken Authentication and Session Management)
(4)不安全的对象直接引用
不安全的对象直接引用(Insecure Direct Object References,IDOR)
(5)跨站请求伪造
跨站请求伪造(Cross Site Request Forgery,CSRF)
(6)不安全的配置管理
(7)不安全的密码存储
(8)错误的访问控制
(9)传输保护不足
(10)未经验证的网址重定向
(11)不恰当的异常处理
(12)拒绝服务攻击
3.Web安全防护技术
(1)Web应用防火墙
Web应用防火墙(Web Application Firewall,WAF)
很多Web应用防火墙产品是集Web防护、网页保护、负载均衡等功能与一体的Web整体安全防护设备
常见的功能包括以下几种
审计功能
访问控制设备
Web应用加固工具
Web应用防火墙一般部署在Web服务旗和接入网之间,且为串行接入
如网络中还存在防火墙,则Web应用防火墙一般部署在防火墙之后,Web服务器之前
部分WAF产品能够参与到安全事件发生的全过程,具备事前防范、事中防护、事后补救的能力
(2)网页防篡改
网页防篡改产品的技术原理主要包括几种
定时循环技术
摘要循环技术
事件触发防范技术
底层过滤技术
注:以上内容来源于网络,如有侵权,可联系客服删除
