版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
第2節(jié)Web安全概述第2章目
錄Web應(yīng)用基礎(chǔ)Web安全的發(fā)展0102OWASPTOP10簡介0301Web應(yīng)用基礎(chǔ)Web應(yīng)用概述Web是目前使用最廣泛的網(wǎng)絡(luò)和應(yīng)用技術(shù)。CNCERT/CC網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)對流量數(shù)據(jù)進(jìn)行的抽樣統(tǒng)計顯示,Web應(yīng)用流量占整個TCP流量的81.1%Web流量居統(tǒng)治地位:新聞資訊、電子商務(wù)、網(wǎng)上銀行、證劵、手機(jī)上網(wǎng)、電子政務(wù)。注:關(guān)于Web應(yīng)用基礎(chǔ)的內(nèi)容介紹,請參閱第二章/Web應(yīng)用基礎(chǔ).mp4Web應(yīng)用概述Web服務(wù)器也稱為WWW(WorldWideWeb,萬維網(wǎng))服務(wù)器,主要功能是提供網(wǎng)上信息瀏覽服務(wù)。Web用于解析HTTP/HTTPS協(xié)議。當(dāng)Web服務(wù)器接收到一個http請求(request),會返回一個http響應(yīng)(response),如:返回一個html頁面,但一般而言,Web服務(wù)器不用于處理業(yè)務(wù)邏輯。什么是WebWeb應(yīng)用概述Web瀏覽器訪問Web服務(wù)器資源:Web的工作機(jī)制Web服務(wù)器客戶機(jī)Web服務(wù)器存放著各類Web資源(文件、圖片等)HTTP找到了,給你我需要xx文件(通過URL指定位置)Web應(yīng)用概述Web典型四層架構(gòu)訪問表示層呈現(xiàn)HTML加載、編譯并執(zhí)行index.php邏輯層發(fā)送HTMLWeb瀏覽器/呈現(xiàn)引擎與數(shù)據(jù)存儲交互,利用應(yīng)用程序和業(yè)務(wù)邏輯應(yīng)用層為Web服務(wù)器提供數(shù)據(jù)執(zhí)行SQL存儲層返回數(shù)據(jù)編程語言:C#、ASP、.NET、PHP、JSP等CFC、EJB、SQAP、RMWeb服務(wù)等數(shù)據(jù)庫:MSSQL、MySQL、Oracle等腳本引擎RDBMSWeb應(yīng)用概述Web三大支撐技術(shù)01.統(tǒng)一資源定位(URL)URL是對互聯(lián)網(wǎng)上的信息資源進(jìn)行命名和定位的一種標(biāo)準(zhǔn)機(jī)制,用于說明如何訪問Web資源,包括服務(wù)器名稱、路徑、文件名等。URL格式例如:/main.htm<協(xié)議>://<主機(jī)名:端口>/<文件路徑>Web應(yīng)用概述02.超文本標(biāo)記語言(HTML)HTML是一種能夠為所有計算機(jī)所理解的信息資源描述語言,HTML文檔經(jīng)瀏覽器解釋后,就展現(xiàn)為豐富多彩的Web頁面。03.超文本傳輸協(xié)議(HTTP)HTTP是一種詳細(xì)規(guī)定了瀏覽器和萬維網(wǎng)服務(wù)器之間互相通信的規(guī)則,通過因特網(wǎng)傳送萬維網(wǎng)文檔的數(shù)據(jù)傳送協(xié)議。HTTP是一個應(yīng)用層協(xié)議,由請求和響應(yīng)構(gòu)成,是一個標(biāo)準(zhǔn)的客戶端服務(wù)器模型。HTTP協(xié)議分析HTTP協(xié)議概述HTTP(HypertextTransferProtocol)的中文全稱為:超文本傳輸協(xié)議,是一種分布式、合作式的多媒體信息系統(tǒng)服務(wù)。HTTP是面向應(yīng)用層的協(xié)議、基于傳輸層的TCP協(xié)議進(jìn)行通信。HTTP協(xié)議是通用的、無狀態(tài)的協(xié)議。用于在服務(wù)器和客戶機(jī)之間傳輸超文本文件。Web服務(wù)器客戶機(jī)向服務(wù)器發(fā)出Web請求1Internet功能2尋找頁面將文檔傳送給Web瀏覽器3HTTP協(xié)議分析HTTP協(xié)議的組成請求行:方法,URI,協(xié)議/版本(Method-URI-Protocol/Version)請求頭部(Requestheaders)請求實體(Entitybody)相應(yīng)行:協(xié)議,狀態(tài)碼,代碼描述(Protocol-Statuscode-Description)響應(yīng)頭部(Responseheaders)響應(yīng)實體(Entitybody)HTTP請求(Requests)HTTP響應(yīng)(Responses)HTTP協(xié)議分析HTTP請求報文HTTP請求結(jié)構(gòu)請求方法空格URL空格協(xié)議版本回車符換行符頭部字段名:值回車符換行符回車符換行符...請求實體請求頭部請求行頭部字段名:值回車符換行符請求行請求頭部請求數(shù)據(jù)HTTP協(xié)議分析HTTP響應(yīng)報文HTTP響應(yīng)結(jié)構(gòu)協(xié)議版本空格狀態(tài)碼空格狀態(tài)碼描述回車符換行符頭部字段名:值回車符換行符回車符換行符...響應(yīng)實體響應(yīng)頭部請求行頭部字段名:值回車符換行符第一行請求行:說明協(xié)議是使用的HTTP1.1,響應(yīng)請求已成功(200表示成功),一切已OK響應(yīng)的實體是HTML那一部分的內(nèi)容。頭部和實體也都是被CRLF序列分離開的響應(yīng)頭部和請求頭部相似,也包含一些有用的信息。HTTP協(xié)議分析常見的HTTP請求方法請求方法含義GET請求獲取由Request-URI所表示的資源POST在Request-URI所標(biāo)識的資源后附加新的數(shù)據(jù)HEAD請求獲取由Request-URI所標(biāo)識的資源的響應(yīng)消息報頭PUT請求服務(wù)器存儲一個資源,并用Request-URI作為其標(biāo)識DELETE請求服務(wù)器刪除由Request-URI所標(biāo)識的資源TRACE請求服務(wù)器回送收到的請求信息,主要用于測試或診斷OPTIONS查看服務(wù)器對某個特定URL都支持哪些請求方法CONNECT用于某些代理服務(wù)器,能把請求的連接轉(zhuǎn)化為一個安全隧道HTTP協(xié)議分析HTTP響應(yīng)狀態(tài)碼狀態(tài)碼定義說明1XX信息接收到請求,繼續(xù)處理2XX成功操作成功地收到,理解和接受3XX重定向為了完成請求,必須采取進(jìn)一步措施4XX客戶端錯誤請求的語法有錯誤或不能完成被滿足5XX服務(wù)端錯誤服務(wù)器無法完成明顯有效的請求HTTPS協(xié)議概念HTTPS(HypertextTransferProtocoloverSecureSocketLayer),是以安全為目標(biāo)的HTTP通道,在HTTP下加入SSL層的協(xié)議。HTTPS和HTTP的區(qū)別HTTPS協(xié)議需要到CA申請證書。HTTP是明文傳輸,HTTPS則是具有安全性的SSL加密傳輸協(xié)議。HTTP和HTTPS使用的端口也不一樣,前者是80,后者是443。HTTP的連接很簡單,是無狀態(tài)的;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,比HTTP協(xié)議安全。HTTP協(xié)議分析常見的服務(wù)器中間件中間件概念中間件(Middleware)是提供系統(tǒng)軟件和應(yīng)用軟件之間連接的軟件。中間件是一種獨立的系統(tǒng)軟件或服務(wù)程序,分布式應(yīng)用軟件借助這種軟件在不同的技術(shù)之間共享資源。中間件是一類軟件的總稱,不是單獨的一個軟件。中間件可以叫做中間件服務(wù)器,也可以叫做應(yīng)用服務(wù)器。常見中間件IIS、Apache、Nginx、Tomcat常見的服務(wù)器中間件IIS簡介IIS(InternetInformationServices)即互聯(lián)網(wǎng)信息服務(wù),是由微軟公司提供的基于運行MicrosoftWindows的互聯(lián)網(wǎng)基本服務(wù)。利用IIS,可以發(fā)布網(wǎng)頁,并且支持ASP(ActiveServerPages)、JAVA、VBscript等腳本格式,同時支持一些擴(kuò)展功能。IIS控制臺界面常見的服務(wù)器中間件Apache簡介Apache是目前世界上使用人數(shù)最多的服務(wù)器中間件。Apache可以運行在幾乎所有廣泛使用的計算機(jī)平臺上,由于其跨平臺和安全性被廣泛使用。Apache首頁常見的服務(wù)器中間件Nginx簡介Nginx是一款輕量級的Web服務(wù)器/反向代理服務(wù)器一個高性能的HTTP和反向代理的Web應(yīng)用服務(wù)器。Nginx首頁Nginx的優(yōu)勢在于免費開源、高性能、穩(wěn)定性強(qiáng)。國內(nèi)多數(shù)大型企業(yè)均有應(yīng)用Nginx,如:百度、新浪、網(wǎng)易、騰訊、淘寶等。常見的服務(wù)器中間件Tomcat簡介Tomcat是一個免費、開源的Web應(yīng)用服務(wù)器。Tomcat屬于輕量級應(yīng)用服務(wù)器,在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場合下被普遍使用,是開發(fā)和調(diào)試JSP程序的首選。Tomcat首頁02Web攻擊手段的變化Web攻擊的變化趨勢Web攻擊的發(fā)展特點早期
炫耀Web攻擊技術(shù)現(xiàn)在
政治、經(jīng)濟(jì)等利益驅(qū)使,竊取Web應(yīng)用數(shù)據(jù)Web攻擊的發(fā)展趨勢趨勢一
Web應(yīng)用數(shù)據(jù)泄露越來越嚴(yán)重超過半數(shù)的網(wǎng)站W(wǎng)eb應(yīng)用數(shù)據(jù)遭受泄露、造成重大財務(wù)損失;趨勢二“云”上業(yè)務(wù)威脅越來越多企業(yè)的業(yè)務(wù)上“云”,讓黑客有了更多的攻擊目標(biāo);趨勢三
針對API接口的攻擊越來越普遍大數(shù)據(jù)時代下,普遍應(yīng)用的API接口被忽視安全使用規(guī)范,造成攻擊威脅。SQL注入
XSS跨站腳本
CSRF跨站請求偽造文件上傳文件包含命令執(zhí)行邏輯漏洞
XML外部實體注入目錄遍歷會話固定點擊劫持
CC攻擊常見Web應(yīng)用攻擊手段常見Web應(yīng)用攻擊手段新型Web應(yīng)用攻擊攻擊手段一供應(yīng)鏈攻擊供應(yīng)鏈攻擊是一種以軟件開發(fā)人員和供應(yīng)商為目標(biāo)的一種威脅,攻擊者通過感染合法應(yīng)用來分發(fā)惡意軟件來訪問源代碼、構(gòu)建過程或更新機(jī)制從而達(dá)到對開發(fā)人員和供應(yīng)商進(jìn)行攻擊的目的。攻擊事件2020年12月,SolarWinds旗下軟件被用于供應(yīng)鏈攻擊。2021年03月,國際航空電信公司(SITA)受到供應(yīng)鏈攻擊。攻擊手段二第三方組件攻擊Web應(yīng)用有將近80%的代碼來自于第三方組件、依賴的類庫,攻擊者通過第三方組件的安全漏洞,可快速攻陷服務(wù)器。03OWASPTOP10簡介什么是OWASPTOP10?OWASP開放式Web應(yīng)用程序安全項目(OpenWebApplicationSecurityProject)OWASP是一個組織,它提供有關(guān)計算機(jī)和互聯(lián)網(wǎng)應(yīng)用程序的公正、實際、有成本效益的信息。其目的是協(xié)助個人、企業(yè)和機(jī)構(gòu)來發(fā)現(xiàn)和使用可信賴軟件。什么是OWASPTOP10OWASP每隔數(shù)年會更新10個最關(guān)鍵的Web應(yīng)用安全問題清單,即OWASPTOP10。OWASPTOP10不是官方文檔或標(biāo)準(zhǔn),而是一個被廣泛采用的意識文檔,被用來分類網(wǎng)絡(luò)安全漏洞的嚴(yán)重程度,目前被許多漏洞獎勵平臺和企業(yè)安全團(tuán)隊評估錯誤報告。這個列表總結(jié)了Web應(yīng)用程序最可能、最常見、最危險的十大漏洞,可以幫助IT公司和開發(fā)團(tuán)隊規(guī)范應(yīng)用程序開發(fā)流程和測試流程,提高Web產(chǎn)品的安全性。什么是OWASPTOP10?OWASP在業(yè)界的影響力推動了數(shù)以百萬的IT從業(yè)人員對應(yīng)用安全的關(guān)注以及理解,并為各類企業(yè)的應(yīng)用安全提供了明確的指引。12345OWASP被視為Web應(yīng)用安全領(lǐng)域的權(quán)威參考。國際信用卡數(shù)據(jù)安全技術(shù)PCI標(biāo)準(zhǔn)更將其列為必要組件。為歐洲網(wǎng)絡(luò)與信息安全局(ENISA),云計算風(fēng)險評估提供參考。為美國國家安全局/中央安全局,可管理的網(wǎng)絡(luò)計劃提供參考。成為IBMAPPSCAN、HPWEBINSPECT等掃描器漏洞參考的主要標(biāo)準(zhǔn)。OWASPTOP10主要內(nèi)容2013年、2017年的OWASPTOP
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年度山西省高校教師資格證之高等教育心理學(xué)題庫檢測試卷B卷附答案
- 2023年激光診斷設(shè)備資金籌措計劃書
- 福建省泉州市高一上學(xué)期期末英語試題與參考答案
- 小學(xué)幼兒園智慧監(jiān)控系統(tǒng)方案建議書
- 2024奶牛養(yǎng)殖基地施工承包協(xié)議
- 2024暑期工勤工儉學(xué)勞動協(xié)議示例
- 2024年借款居間協(xié)議格式樣本
- 2024年度采石場租賃運營權(quán)轉(zhuǎn)移協(xié)議
- 2024陶瓷燒制加工承攬協(xié)議
- 2024專業(yè)居間服務(wù)借款協(xié)議范本
- D報告樣板設(shè)備故障的8D報告
- 2023超星爾雅舞蹈鑒賞章節(jié)測試考試答案
- 幼兒園中班數(shù)學(xué)活動《5以內(nèi)的相鄰數(shù)》
- 有限空間監(jiān)護(hù)人制度
- 是媽媽是女兒三聲部合唱譜
- 醫(yī)療環(huán)境表面清潔與消毒管理規(guī)范 課件
- 2023年高考語文全國乙卷小說《長出一地的好蕎麥》講評課件26張
- JCT2094-2011 干壘擋土墻用混凝土砌塊
- 跨部門工作聯(lián)絡(luò)單
- 農(nóng)藥采購及配送服務(wù)方案(技術(shù)標(biāo))
- 跌倒墜床流程圖
評論
0/150
提交評論