摘要： 相信大家都或多或少的听过关于各种Web应用安全漏洞，诸如:跨site脚本攻击(XSS)，SQL注入，上传漏洞...形形色色. 在这里我并不否认各种命名与归类方式，也不评价其命名的合理性与否，我想告诉大家的是，形形色色的安全漏洞中，其实所蕴含安全问题本质往往只有几个。 我个人把Web应用程序安全性本质问题归结以下三个部分： １、输入／输出验证(Input/output validation) ２、角色验证或认证(Role authentication ) ３、所有权验证(Ownership authentication) 说到这，读者一定想知道我这三种分类与形形色色的安全性问题有什么关系？下面我 阅读全文

摘要： 通常把它分为三个层次： １、网络安全。如防火墙、路由器、网络结构等相关的安全问题 ２、系统与服务安全。如Window/Linux/Unix系统本身的漏洞或运行于其上的服务的安全，象Apache/OpenSSL/Weblogic等本身的安全性漏洞 ３、Web应用程序安全。具体应用程序的安全性漏洞，比如：某网站邮件系统因为存在脚本安全性问题，导致该邮件系统的用户在收到具有恶意代码的邮件时不知不觉的，其密码与帐号信息被人窃取。 阅读全文