2024年6月7日发(作者:)

白皮书

Web

安全

McAfee 汤城 李明

关键词

Web 安全、SQL注入、XSS、入侵防护、迈克菲

摘要

本文简要回顾了 Web 安全的发展阶段,阐述了主要的 Web 安全漏洞的原

理、危害以及利用方式,阐述了迈克菲安全实验室的 Web 攻击检测技术,

并指出这种技术的具体实现及优点。

白皮书 Web 安全

1. Web 安全的回顾

Web 站点目前已经成为组织甚至个人重要的“身份”,与此同时,越来越多的应用也正以基于 Web

的方式提供给用户,这使得 Web 安全成为组织和每个人都需要关心的问题。从二十世纪九十年代末

呈萌芽状态的针对网站的攻击开始,到如今每天都有数以千计收(甚至更多)的网站被黑,Web 安全

已经成为网络安全领域中最热门的话题和主要的挑战之一。

如果回顾 Web 安全的发展,根据其不同时期攻击针对的主要目标,我们可以将其分为三个主要阶

段:第一个阶段为“站点安全”,主要是从九十年代末到二零零二年左右,主要是针对 Web 服务器

以及 cgi 漏洞的攻击,这类攻击在初出现的时代具有较强的破坏性,但是防范比较容易;第二个阶

段是“数据库安全”,主要是从二零零三年开始一直持续到现在,这一阶段攻击的主力是 SQL 注入

(SQL Injection)、跨站脚本和 PHP 漏洞等攻击,这些攻击的目标往往是针对组织的重要资产,目

前还是 Web 安全主要的防范对象,也是本文主要阐述的内容;第三个阶段是“Web