web技术发展
静态web
动态web
- 应用程序
- 数据库
- 每人看到内容不同
- 根据用户输入返回不同结果
web攻击面
- network
- os
- webserver
- appserver
- web application
- database
- browser
http协议基础
- 无内建的机密性安全机制
- 嗅探或代理截段可查看全部明文信息
- https只能提高传输层安全
-
每一次客户端和服务器端的通信都是独立的过程
- web应用需要跟踪客户端会话(多步通信)
- 不使用cookie的应用,客户端每次请求都要重新身份验证(不现实)
- session用于在用户身份验证后跟踪用户行为轨迹
提高用户体验,但增加了攻击向量
web安全测试学习笔记(一)
原文:http://www.cnblogs.com/longronglang/p/7265782.html
