Web安全_wasc 威胁分类

Web应用

由动态脚本（HTML …），编译过的代码等组合成

通常架设在Web服务器上，用户在Web浏览器上发送请求，这些请求使用HTTP协议，由Web应用和企业后台的数据库及其他动态内容通信

Web 应用的三层架构

数据层：DOC层
业务逻辑层：Server层

安全问题一般在：Web层和业务逻辑层之间 (Web层发起HTTP请求)

• 应用
  验证码：防止机器人
  长时间操作，session失效：放弃他人盗用

WASC将Web应用安全威胁分为六大类

Web Application Secutity Consority

1. Authentication(验证)：用来确认用户，服务或是应用身份的攻击手段

2. Authorization(授权)：用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段

3. Client-Side Attack(客户端攻击)：用来扰乱或是探测Web站点用户的攻击手段 eg. 绕过

4. Command Execution(命令执行)：在Web站点上执行远程命令的攻击手段

5. Information Disclosure(信息泄露)：用来获取Web站点具体系统信息的攻击手段

6. Logical Attack(逻辑性攻击）：用来扰乱或是探测Web应用逻辑流程的攻击手段

OWASP 漏洞分类