web安全的崛起

·在互联网早期，Web并非给了我的主流应用，基于SMTP、POP3、FTP、IRC等协议的服务拥有绝大部分客户。所以这个时候，黑客的主要目标为网络、操作系统以及软件等领域,web安全处于初始阶段。因为相对于exploit攻击，web攻击只能让一个黑客取得一个 较低权限的账户，对黑客的吸引力远远不够

 

·而后来，随着时代发展，防火墙和ACL(访问控制列表)技术的兴起，使得直接暴露在网络的系统得到保护

 

·2003年的冲击波蠕虫是一个里程碑的事件，这个事件直接让运营商坚决的屏蔽了，网络上来自135、445等端口的连接请求

 

·经历这些年的发展，互联网上的非web协议越来越少，而web技术的成熟，使得与web相关的协议增多与流行起来

 

·在web1.0时代，人们更多关注的服务器端动态脚本的安全问题，比如将一个可执行脚本(webshell)上传到服务器上，从而获得权限

 

·SQL注入是web安全史上的第一个里程碑。

SQL注入可以使黑客直接通过数据库直接获取系统的访问权限，从而实现权限窃取的目的，这一度使得SQL注入漏洞成为web安全领 域中的一个重要的组成部分

 

·XSS(跨站脚本攻击)是web安全史上的第二个里程碑。

XSS的产生时间与SQL注入差不多，而真正引起人们注意是在2003年以后，因为冲击波蠕虫事件的全称为XSS蠕虫事件。

 

·伴随着web2.0的兴起，XSS、CSRF等攻击日渐成熟与强大。web的攻击思路，又从服务器转向客户端、浏览器和用户。