《Slides Dev Web》 12. Risques applicatifs

### 文档总结：《Web开发中的应用风险》 #### 1. **应用风险概述** - 应用风险可能导致系统功能被篡改或数据被窃取。 - 风险存在于系统各个层次（应用、服务器、客户端、操作系统、数据库等）。 - 开发者对应用安全负有主要责任，需及时修复漏洞。 #### 2. **OWASP（开放Web应用安全项目）** - **简介**：国际非营利组织，致力于提升Web应用安全。 - **贡献**：提供安全标准（如Top 10漏洞）、工具、培训和文档。 - **核心目标**：帮助开发者识别和修复应用安全漏洞。 #### 3. **主要风险类型** ##### 3.1. **跨站脚本（XSS）** - **三种类型**： 1. **反射型XSS**：直接显示请求内容（如搜索、错误页面）。 2. **存储型XSS**：将恶意代码存储在数据库中供多个用户执行。 3. **基于DOM的XSS**：通过修改DOM执行脚本。 - **风险**：窃取会话 cookie、重定向、数据泄露等。 ##### 3.2. **跨站请求伪造（CSRF）** - **原理**：诱使用户在未察觉的情况下执行恶意操作。 - **防护**：使用唯一令牌验证请求来源。 ##### 3.3. **钓鱼攻击** - **手段**：仿冒真实网站诱导用户提供敏感信息。 - **防护**：用户需谨慎验证URL和网站真实性，避免点击不明链接。 #### 4. **其他风险** ##### 4.1. **非应用相关风险** - **物联网（IoT）**：设备常被恶意利用（如Shodan.io暴露）。 - **拒绝服务攻击（DoS）**：攻击服务器可用性。 - **缓冲区溢出、中间人攻击（MITM）**：常见于低级语言（如C）和协议设计漏洞。 ##### 4.2. **身份验证与密码管理** - **身份验证**：结合多种验证方式（知识、拥有、生物特征）提升安全性。 - **密码问题**： - 30%用户使用易被破解的弱密码。 - 避免常见密码，建议使用随机复杂密码。 #### 5. **OWASP Top 10 2021** - **排名**： 1. 访问控制失效 2. 加密缺陷 3. 注入漏洞 4. 不安全的设计 5. 安全配置错误 6. 使用易受攻击的组件 7. 账号认证问题 8. 数据完整性不足 9. 缺乏日志和监控 10. 请求伪造（CSRF） #### 6. **防护建议** - 严格配置服务器。 - 验证所有输入，避免直接显示用户输入。 - 使用HTML实体编码。 - 定期测试表单和代码。 - 避免使用常见应用名称。 #### 7. **总结** - 应用安全是开发者的核心责任。 - 通过严格的输入验证、安全配置和遵守OWASP指南，可以有效降低风险。