31|易受攻击和过时的组件:DevSecOps与依赖项安全检查
王昊天
你好,我是王昊天。
不知道你是否听说过木桶效应?我们可以看下图这个木桶,假设它的底面为一整块木板,桶身由 15 块木板组成。现在,我们需要用这个木桶装尽可能多的水,显而易见,它能装水的数量仅与木板中高度最低的相关。
其实对于 Web 应用的安全性来说,木桶效应同样有效。假设我们的 Web 应用运用了多个组件,例如 Struts、Apache,那么它的安全强度也是由这些组件中最脆弱的一个所决定。所以在我们开发一个 Web 应用时,需要确保每一个组件都不存在已知的安全问题。
那么这节课,就让我们一起学习下 Web 应用中组件的安全问题吧。
易受攻击和过时的组件
首先,我们需要了解 Web 应用中具有哪些组件。
通常来讲,Web 应用一般都包含三个基础组件,Web 应用服务组件、Web 数据库组件以及 Web 客户端浏览器组件。其中,我们很容易知道 Web 应用服务器是用于运行 Web 应用的,Web 数据库服务器是用于给 Web 应用提供需要的数据,而 Web 客户端浏览器则可以用来展示 Web 应用返回的内容,同时决定用户与 Web 应用的交互方式。
其实上述三个基础组件本身,也是由多个组件所构成的,例如 Web 应用服务器可能会包含 Struts、Apache 应用等多个组件,而 Struts、Apache 内部也会包含很多组件。所以组件是一个很灵活的说法,你可以将它简单地理解为是一个独立功能单元。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
本文介绍了Web应用中易受攻击和过时的组件,以及相关的安全问题。首先,讨论了Web应用的基础组件,如Web应用服务组件、Web数据库组件和Web客户端浏览器组件。随着Web应用功能的复杂化,组件数量增加,给安全性带来威胁。具体介绍了Apache换行解析漏洞和Struts2远程代码执行漏洞的原理和影响版本,并通过实战演示了其威力。文章通过实例生动地展示了组件安全问题的严重性,提醒开发者在开发Web应用时需注意组件的安全性,避免使用存在漏洞的版本。另外,介绍了如何通过DevSecOps方式开发Web应用,对所用的组件及依赖项进行及时的检测,以保护Web应用的安全性。
仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《Web 漏洞挖掘实战》,新⼈⾸单¥59
《Web 漏洞挖掘实战》,新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
全部留言(3)
- 最新
- 精选
- leslieSec处于Dev和Ops的全生命周期2022-03-071
- ifelse学习打卡2023-03-31归属地:浙江
- DoHer4S安全组件比如比较著名的: Apache Shiro - 关于Apache的Web安全组件(CVE-2020-17523) 漏洞大户: IIS, 基本上一搜一大堆。2022-03-08
收起评论