1.Web安全概述

当前网络技术日趋成熟，Web已成为互联网核心，也是未来计算和移动互联网的载体，因此Web安全也是互联网公司安全业务中最重要的组成部分。

根绝调查，信息安全攻击超过半数发生在Web应用而非网络层面。同时，三分之二的Web站点都相当脆弱，易受攻击。然而显示却是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全。

为了保证用户数据到企业Web服务器的传输安全，通信层通常会采用SSL（安全套接字）技术加密数据；企业会用到防火墙和IDS（入侵检测系统）/IPS（入侵防御系统）来保证仅允许特定的访问，不必要暴露的端口和非法访问在这里都会被阻止；即使又防火墙，企业仍然会使用身份认证机制授权用户访问Web应用。

Web安全主要分为客户端安全和服务器应用安全。

客户端脚本安全主要包括浏览器安全、跨站脚本攻击（XSS）、跨站点请求伪造（CSRF）、点击挟制（ClickJacking），以及后来的HTML5安全；

服务器端的安全有注入攻击、文件上传漏洞、认证与会话管理、访问控制、加密算法与随机数、Web框架安全、应用层拒绝服务攻击、PHP安全、Web Server配置安全等；

浏览器主要涉及同源策略、沙箱等知识；

注入攻击包括SQL注入、XML注入、代码注入、CRLF注入等；

文件上传漏洞，常见的如FCKEditor上传，绕过文件上传检查功能上传；

PHP安全则一般会和文件包含漏洞、变量覆盖漏洞、代码执行漏洞等有关；