在介紹web應用安全之前,小白覺得有必要先和大家介紹一下中國黑客的簡單歷史和web應用安全是如何發展起來的。
從時間上來看
黑客的發展經歷了以下三個階段:
啟蒙時代->黃金時代->黑暗時代
啟蒙時代:
這個時期大概處于20世紀90年代,這個時候中國的互聯網才剛剛起步,一些喜歡新技術的年輕人們受到外國黑客的影響,開始研究計算機漏洞,成為黑客的大多數人都是憑借著自己的興趣,好奇和求知欲,沒有任何的利益關系。他們通過互聯網,看到了世界,與全世界的黑客有了統一的信仰:分享、自由、免費,每個人都喜歡分享自己的技術成果。
黃金時代:
黃金時代誕生于中美黑客大戰這個大背景下,在這個時期,黑客這個特殊的群體一下子吸引了社會上所有人士的眼球,中國有無數的青少年走上了黑客的道路。這個時候的中國黑客最普遍的特點就是年輕,有活力,充滿了激情。有利也有弊,這個時候販賣漏洞、惡意軟件的現象開始升溫,同時也因為這個特殊群里的參差不齊,開始出現了以盈利為目的的攻擊行為,黑色產業鏈逐漸成型。
黑暗時代:
這個時期從十年前開始到現在,也許還會持續很長的一段時間。黑客這個群里也隨著社會發展規律而出現優勝劣汰的現象,大多數的黑客沒有堅持下來。上一個時代流行的各種圈子也越來越沒落。所有的門戶型漏洞紕漏點也都不愿意再討論任何有關于漏洞細節相關的技術細節。
隨著安全產業的大力發展,某些黑客群體的功利性越來越強,每一年都給互聯網造成數十億上百億的損失。而上個時代堅持下來的黑客們,現在都已經成長為安全領域的高級人才。有的在安全公司貢獻著自己的專業技能,而有一部分人群卻憑著強硬的技術投身黑產。這個時期的黑客已經缺失了彼此間的新人,一開始所倡導的黑客文化:分享、自由、免費,已經一去不復返。
從技術的角度上來看:
在早期的互聯網中
web并不是互聯網的主要應用,那時候更多的是郵件服務、文件服務等,并且擁有絕大多數的用戶,因此,黑客攻擊的主要目標是網絡、操作系統以及軟件等方面,web應用安全方面的攻擊和防御還處于非常原始的階段。基于web的攻擊一般來說只能讓黑客拿到一個低權限的賬號,相對于直接攻擊系統軟件來說,沒有任何的吸引力。
但是隨著時代的發展
防火墻的興起改變了互聯網安全的格局,尤其是以思科、華為為代表的網絡設備商,開始在網絡設備中注重網絡安全,最終改變了網絡的走向。防火墻、acl的興起,使得原本直接暴露在公網上的系統得到了較好的保護。
對于整個互聯網來說,2003年發生的沖擊波蠕蟲是一個里程碑的時間。
這個針對windows操作系統RPC服務(445端口)的蠕蟲病毒,在很短的時間內席卷了全球,造成數以百萬的設備受到感染,損失不可估量。在這件事情發生以后,運營商們很堅決的在骨干網絡中屏蔽了135、445等端口的連接請求。這次事件之后,整個互聯網對于安全的重視達到了一個空前的高度。
從此之后,運營商、防火墻對網絡進行了大規模封鎖
暴露在互聯網上的非web服務越來越少,且web技術的成熟使得web應用的功能越來越其強大,最終成為了互聯網的主流。黑客們的目光,也漸漸轉移到了web這塊大蛋糕上來。
**直到今天 **
也正是因為web應用越來越蓬勃的發展,才有了今天這么豐富多彩的互聯網生活,同時互聯網業務也催生除了許許多多的腳本語言,如python、ruby、nodejs等等,敏捷開發成為互聯網的主旋律。而手機技術、移動互聯網的興起,也給html5帶來了新的挑戰和機遇,web安全技術也將緊跟這互聯網的發展腳步,不斷地演化出新的變化。
文章參考:
1.吳翰清. 白帽子講web安全[M]. 北京:電子工業出版社, 2014. 2-6
