第2章 核心防御机制

Web应用程序的基本安全问题（所有用户输入都不可信）致使应用程序实施大量安全机制来抵御攻击。尽管其设计细节与执行效率可能千差万别，但几乎所有应用程序采用的安全机制在概念上都具有相似性。

Web应用程序采用的防御机制由以下几个核心因素构成。

❑ 处理用户访问应用程序的数据与功能，防止用户获得未授权访问。

❑ 处理用户对应用程序功能的输入，防止错误输入造成不良行为。

❑ 防范攻击者，确保应用程序在成为直接攻击目标时能够正常运转，并采取适当的防御与攻击措施挫败攻击者。

❑ 管理应用程序本身，帮助管理员监控其行为，配置其功能。

鉴于它们在解决核心安全问题过程中所发挥的重要作用，一个典型应用程序的绝大多数受攻击面也由这些机制构成。知己知彼是战争的首要法则，那么防御攻击者向应用程序发动有效攻击的重要前提是彻底了解这些机制。无论读者在渗透测试方面是否有经验，都应花时间了解这些核心机制在遇到的每一种应用程序中的工作原理，并确定使其易于受到攻击的弱点。