第1章 Web应用入侵基础
本章概述了Web应用入侵中的“谁、什么、何时、何处、如何以及为什么”等内容,旨在为后续的章节打下一个基础,后面将会更深入地研究Web应用攻击的细节以及对策。我们还将介绍基本的Web应用入侵工具集,因为本书后续内容将介绍这些工具的各种用途。
1.1 什么是Web应用入侵
我们不打算浪费太多的时间去定义Web应用程序—除非你在过去的十年中与世隔绝,否则你可能已经直接体验过数十个Web应用(Google、Amazon.com、Hotmail等)。更深入的背景材料,可以在Wikipedia.org上搜索“Web application”这个词。在这里我们将尽可能快速而简洁地集中介绍与安全相关的内容。
我们将Web应用定义为通过超文本传输协议HTTP(关于HTTP的背景资料参见本章末尾的“参考与延伸阅读”)访问的应用。因此,Web 入侵的本质是通过HTTP篡改应用,有3种简单的Web入侵方法:
通过图形化Web界面直接操纵应用
篡改统一资源标识符(URI)
篡改没有包含在URI中的HTTP元素 |