当 评估某个应用程序的安全状态时,Web应用程序架构经常被忽略,但实际上它是一个重要的安全领域。在常用的分层架构中,如果无法隔离不同的层次,攻击者就可以利用某个层次中的一个漏洞完全攻破其他层次,进而控制整个应用程序。
如果多个应用程序在相同的基础架构上运行,或者共享一个用途更广泛的支配型应用程序的公共组件,这些环境也会造成其他不同类型的安全威胁。在这些情况下,攻击者有时可能利用应用程序中的漏洞或恶意代码攻破整个环境以及其他属于不同客户的应用程序。最近流行的“云计算”增加了许多组织遭受此类攻击的可能性。
本章讨论一系列不同类型的架构配置,并说明如何利用应用程序架构中存在的缺陷扩大攻击范围。