web安全的崛起
·在互联网早期,Web并非给了我的主流应用,基于SMTP、POP3、FTP、IRC等协议的服务拥有绝大部分客户。所以这个时候,黑客的主要目标为网络、操作系统以及软件等领域,web安全处于初始阶段。因为相对于exploit攻击,web攻击只能让一个黑客取得一个 较低权限的账户,对黑客的吸引力远远不够
·而后来,随着时代发展,防火墙和ACL(访问控制列表)技术的兴起,使得直接暴露在网络的系统得到保护
·2003年的冲击波蠕虫是一个里程碑的事件,这个事件直接让运营商坚决的屏蔽了,网络上来自135、445等端口的连接请求
·经历这些年的发展,互联网上的非web协议越来越少,而web技术的成熟,使得与web相关的协议增多与流行起来
·在web1.0时代,人们更多关注的服务器端动态脚本的安全问题,比如将一个可执行脚本(webshell)上传到服务器上,从而获得权限
·SQL注入是web安全史上的第一个里程碑。
SQL注入可以使黑客直接通过数据库直接获取系统的访问权限,从而实现权限窃取的目的,这一度使得SQL注入漏洞成为web安全领 域中的一个重要的组成部分
·XSS(跨站脚本攻击)是web安全史上的第二个里程碑。
XSS的产生时间与SQL注入差不多,而真正引起人们注意是在2003年以后,因为冲击波蠕虫事件的全称为XSS蠕虫事件。
·伴随着web2.0的兴起,XSS、CSRF等攻击日渐成熟与强大。web的攻击思路,又从服务器转向客户端、浏览器和用户。