Web Application Security 网络应用程序安全 - （一）启航

写在本系列文章开始之前，以下几段文字大家可以把它当作废话略过：

以前在开发Web Application的时候也多多少少注意过安全相关的东西，但是仅仅是属于有所涉及，或走走形式草草收工，不明白为什么要关注WebApplication的安全以及到底要关注到什么程度，产品的安全性才能算是达到一个比较合理的程度。

在之前的很长一段时间里，我对于Web Application Security并没有做过深入研究，也没有认识到Web Security的重要性，直到后来连续听了Joey的几堂Web Security的Training之后，才对Web Application Security有了较为深刻的理解及认识。虽然对Web Application Security有了些认识，不过个人觉得，我现在还停留在比较低级的阶段，在Web Application Security这个方向上仍然还有很长一段路要走。

当我开始学习Web Application Security方面的知识时，我发现这方面的资料少之又少，而且还非常凌乱。在接触了Web Application Security一段时间后，我也多多少少积累下了一些经验，为了和大家共同分享我的经验，也为了总结一下我所学的Web Application Security相关的知识，于是便有了写一个关于Web Application Security系列文章的想法。

在正文开始前，我想先在此感谢Joey给我们做的Web Application Security的Training。

OK，废话到此结束，正文开始。

 

我们为什么要关注Web Application Security？

这个问题回答起来既简单，又很困难。为了让我们的Web Application更加安全、稳定、可靠，为了保护用户的资料安全，为了避免企业的财产受到损失，为了避免企业形象受到破坏，为了许多许多东西，我们不得不关注Web Application Security。

试想一下，假如一个网上银行由于Web Application Security没有做好而泄漏了用户的登录名及密码等信息，后果将不堪设想。假如一家企业的主页被黑客篡改，这将对该企业的声誉造成多大的破坏？假如企业的业务系统被黑客破坏，从而影响到企业业务的正常开展，这又将造成多大的经济损失？

各种各样的情况都不允许我们的Application在安全方面出现任何问题。安全问题没有暴露出来的时候，我们的产品看起来非常棒，几乎完美无暇，但是一旦发生安全事故，轻则程序出错，重则导致企业巨额财产损失，甚至倒闭。

什么是Web Application Security？

说实话，我也不清楚Web Application Security的详细、具体、严格的定义是什么，但是我可以给大家一个大致的概念：Web Application Security是指通过HTTP、HTTPS等网络协议进行通信的网络应用程序。限于我刚刚进入Web Application Security领域，学识有限，本系列文章暂时只关注与HTTP、HTTPS有关的Web Application Security。欢迎各位共同交流Web Application Security的方方面面。

Web Application Security的现状不容乐观

我以为大公司、大企业在Web Application Security方面会非常重视，但是事实证明我错了，大公司、大企业在网络安全（Network Security）方面确实舍得投入，也非常重视，但是在网络应用程序安全（Web Application Security）方面依然还有盲区。

比如大名鼎鼎的百度，在用户登录界面中就存在安全漏洞：不恰当的错误提示，从而间接地帮助黑客盗取用户帐号，威胁用户信息安全。如下图所示：

(图1-在百度的登陆页面中，随便输入一个用户名及密码后，点击登录按钮，百度会提示说“用户×××不存在”。)

（图2-在百度的登陆页面中，输入一个存在的用户名，然后乱输入一个密码，点击登录按钮，百度会提示说“登陆密码错误，请重新输入”。）

相信稍微有些安全常识的人都会知道，这样的错误提示是不恰当的，这等同于告诉黑客"baidu"这个帐号是存在的，只是密码错误了。像百度这样的错误提示是非常不恰当的，最合理的做法应该是：只要用户输入的用户名及密码不匹配，提示的错误信息一定要说“用户名或密码错误”或者类似的提示信息。

让人心寒的是，在互联网上，这样的安全漏洞比比皆是。

Web Application Security的未来

未来总是美好的。虽然Web Application Security是一个比较新的领域（我个人觉得当前的Web Application Security领域的现状有点类似于Test领域刚刚萌芽时的情况），虽然Web Application Security充满了各种挑战，但是有一点是毋庸置疑的：Web Application Security在将来必然会受到越来越多的关注。

 

本节结束语

这篇文章是Web Application Security系列的第一篇文章，只是稍微讲了讲Web Application Security的皮毛，没有深入进去，当然，讲的废话比较多，还请各位观众原谅。

在下一篇文章中，我将和大家分享Web Application Security的更加实质性的东西，敬请期待，谢谢。