今天公司培训，去上了一天课，讲的主题是“Web Application Security”。主讲人是一个老外，handshake networking的consultant。我觉得讲的内容很不错，在这里和大家分享一下吧。

Web Application Security

随着网络高速发展，越来越多公司将部分业务放在网上。一来方便了客户，二来也减低了公司本身的行政费用。以前黑客们大多将精力集中在OS或者Web Server层面。比如说Windows的漏洞或者是IIS，Apache的漏洞，并加以攻击。但随着这些软件的不断完善，攻击的难度也越来越大。相比起来，Web Application层面的攻击就比较容易。原因有几个：第一，OS和Web Server的漏洞可以通过patch的形式修复，一旦开发商发布这些patch，大部分电脑的漏洞都可以堵塞。但Web Application都是自己开发的，这个堵塞了漏洞，另一个还可以用同样的手法攻击。第二，Web Application的开发都是小规模进行，质量良莠不齐，攻击起来相对简单。

程序员避免犯的错误

在这里说几个常犯的错误吧。

1. 不要在同一个目录下备份文件。一般来说，程序员有个习惯就是做任何修改之前先备份一下，将原来的文件改成.bak, .tmp之类的。如果黑客知道我们的文件名（不可能不知道，就在网址里），就可以尝试下载有这些后缀的文件，找到的话，我们的源代码就会被直接下载咯。
2. 修改Web Server的默认设置。修改Web Server的设置，使得返回的http header不会有IIS/6.0或Apache 2.2.1之类可以告诉黑客服务器版本的东西。因为这信息有助于黑客锁定攻击你的方法。而且主讲人还说了一个很重要的原因。大部分黑客都是没有既定目标的，他们只是在网上漫游，寻找合适的网站来攻击。如果你的网站返回的是没有任何意义的东西，他们就会觉得那管理员最起码懂一点安全的东西。于是就会放弃这个网站，直接寻找下一个。哈哈，这个强吧。
3. 尽量不要将多个Application放在同一个服务器中。因为你永远不知道别人的Application有什么漏洞，所以每增加一个Application就等于增加了该服务器被攻击的机率。要知道，一个Application被攻破，黑客就可以通过其他方法拿到别的Application的控制权。

目前先说这么多吧。