web安全问题分类

开始我的web安全测试之旅第一步，弄清楚web安全问题分类，呵呵，宏观的认识很重要，会让你有一种高屋建瓴的感觉，希望对大家有点用。

Web安全类型形形色色，常见的安全问题，大家可能也都能说出一两个，什么SQL注入、xss、cookie欺骗等。如果我们列出几十种web安全问题，估计就要晕了。所以有必要归类。

从宏观角度讲，web安全方面的问题可以分为三层 ，即网络、操作系统和服务器、web应用程序，用图来描述一目了然。

任何web安全都可以归类到这三个层次中。是不是忽然有种纲举目张的感觉了呢，呵呵。

 在形形色色的web安全漏洞中，属web应用程序层的安全漏洞类型最多了。Web应用程序层的安全问题也可以划分三种类型，输入/输出验证（Input/output validation）、角色验证或认证（Role Authentication）、所有权验证（Ownership Authentication）。不管对不对，反正对于咱们系统来说，貌似确实是这样子的。据说所有的web应用程序安全问题都可以归类到这三种类型中。

详情请看：

http://blog.csdn.net/iwebsecurity/archive/2007/07/13/1688304.aspx

web安全是一个很大的领域，有了宏观角度的了解，如果要深入，就各个击破。

----------------------------------------------------------------------------

不知道是我不会用，还是csdn文章类型分类本身有点问题，这篇本应该不算原创的，是我看到别人这么分类，又自己查资料，结合实际情况，觉得很合理，稍加整理下，才出来的，可是呢放在其他分类中更加不合适，姑且先这么着吧