>>>>>信息安全工程师培训视频

      全国计算机技术与软件专业技术资格（水平）考试，这门新开的信息安全工程师分属该考试“信息系统”专业，位处中级资格。教材《信息安全工程师教程》及考试大纲于7月1日出版，希赛小编整理了信息安全工程师教程学习笔记之Web安全威胁，供大家参考学习。

        Web应用系统一般是由操作系统、web中间件和web应用程序共同组成的。因此，WEB应用系统的系统安全也是由操作系统安全、中间件安全和程序安全共同组成的。一般来说，绝大部分的Web应用威胁都是由于以下这几种情况导致的：

      服务器向外提供了不应该提供的服务，从而导致数据的泄露。

      服务器把本应该私有的数据和配置放到了可以被公开访问的区域，从而导致敏感信息泄露。

      服务器信任了来自不可信任源头的数据，从而导致受到攻击。许多服务器管理员很少对服务器进行安全评估和安全检查，例如通过使用端口扫描程序进行操作系统风险分析、通过密码分析工具进行操作系统密码强度分析等。一旦我们进行了相关的扫描和分析，我们就会在操作系统上关闭许多不必要的服务，因为这些服务无需在正式提供Web服务的机器上运行。

      许多Web应用程序容易受到通过操作系统、中间件和应用系统发起的攻击。通常这些攻击会直接绕过防火墙的安全策略，例如：80或443端口必须对外开放，以便让用户能够直接访问到应用程序。同时，这也为攻击者攻击web应用提供路径和方便。

      许多程序员不知道如何开发安全的应用程序，或者没有主动去考虑怎么开发安全的应用程序，这就导致了许多应用程序在开发时存在的安全缺陷一旦被利用就很有可能出现灾难性后果。

      Web应用隐患主要存在：非法输入、失效的访问控制、失效的账户和线程管理、跨站脚本、缓冲区溢出、注入、异常错误处理、不安全的存储、不安全的配置管理等问题。利用这些隐患，Web应用攻击主要包括对应用程序本身的DoS(拒绝服务)攻击、网站篡改、SQL注入以及获取对web服务和操作系统的控制权限等攻击方式。

      开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。OWASP发布了最新的Web应用脆弱性的top 10，这是继2007年OWASP对TOP10进行修订后进行的又一次更改，该版本暂定为OWASP TOP 10-2010。在新版本的OWASP TOP10中主要由以下变化：

      返回目录：信息安全工程师教程学习笔记之应用安全工程

    希赛软考网，拥有十四年软考培训经验，希赛网一直坚持自主研发，将丰富的软考培训经验有效融入教程研发过程，自成体系的软考在线题库（软考历年真题）、软考培训教材和软考视频教程，多样的培训方式包括在线辅导、面授、和，使考生的学习更具系统性，辅导更具针对性。采用全程督学机制，，软考平均通过率在全国。