Web安全性问题的层次关系

转自 http://blog.csdn.net/yefan2222/article/details/7094264

大家经常会听到看到很多很多有关安全性方面的信息，可以说形形色色，对于在网络安全方面不太专业的同志来说，有点眼花缭乱，理不出头绪。在这里，我来帮大家整理一下。
　　以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解，我们通常把它分为三个层次：
　　１、网络安全。如防火墙、路由器、网络结构等相关的安全问题
　　２、系统与服务安全。如Window/Linux/Unix系统本身的漏洞或运行于其上的服务的安全，象Apache/OpenSSL/Weblogic等本身的安全性漏洞

　　３、Web应用程序安全。具体应用程序的安全性漏洞，比如：某网站邮件系统因为存在脚本安全性问题，导致该邮件系统的用户在收到具有恶意代码的邮件时不知不觉的，其密码与帐号信息被人窃取。

　　说到这，大家应该清楚，不管你是在任何地方看到有关计算机安全性问题的方方面面，都逃不出这三大部分，同时我也要向读者声明一下：在这里，我主要是给大家陆续的介绍上述第三部分内容，即Web应用程序安全性相关知识与技能。

　　据权威搜索引擎公司统计数据显示，目前70%以上的网站，或多或少的存在安全隐患，这里的安全隐患指的就是Web应用程序的安全。至于网络、系统与服务的安全性问题，我个人认为它的生存周期基本上是：发现->上报软件开发商->打补丁->下载更新程序。作为我们用户，及时的给系统与服务打上最新的补丁，配合一定的防火墙安全策略，是可以基本保证其安全的。

但是为什么呢？因为只有少数组织或个人有能力驾驭网络安全相关的技术与经验，而绝大多数的即使是专业做网站开发的公司也不一定有知识有能力或有意识去考虑安全性问题．

　　还要向读者罗嗦一点是的：　　总之，Web应用程序是我们接触最多最有可能通过带来安全隐患的载体。我将在之后的文章里步步向大家介绍Web应用程序安全性相关的知识、方法与我个人的多年从事web应用程序安全性检测的经验。希望我的努力就是您的需要。