Web安全與防護(hù) （微課版） 課件 01-1 項(xiàng)目一 任務(wù)一二 Web安全核心問(wèn)題

項(xiàng)目一Web安全基礎(chǔ)Web安全與防護(hù)本任務(wù)要點(diǎn)學(xué)習(xí)目標(biāo)Web技術(shù)發(fā)展階段了解Web技術(shù)發(fā)展各階段的典型應(yīng)用。能闡述Web技術(shù)發(fā)展各階段的區(qū)別和聯(lián)系。任務(wù)一Web技術(shù)發(fā)展歷程目錄CONTENTS01/Web技術(shù)發(fā)展歷程Web技術(shù)發(fā)展歷程01TimBerners-Lee于1989年在歐洲核子研究組織（CERN）正式提出萬(wàn)維網(wǎng)的設(shè)想。Web技術(shù)的發(fā)展變遷經(jīng)歷了Web1.0，2.0，3.0三個(gè)時(shí)代。Web技術(shù)發(fā)展歷程01Web1.0初代的互聯(lián)網(wǎng)，它的主要特點(diǎn)是靜態(tài)的網(wǎng)頁(yè)內(nèi)容。Web1.0的本質(zhì)是聚合、聯(lián)合、搜索，解決人們對(duì)信息搜索、聚合的要求。Web2.0這個(gè)階段的互聯(lián)網(wǎng)更加注重用戶的參與和互動(dòng)。用戶不僅可以瀏覽網(wǎng)頁(yè)內(nèi)容，還可以創(chuàng)建自己的博客、社交媒體賬戶等，與其他用戶進(jìn)行交流和分享，用戶既是信息的消費(fèi)者，也是信息的生產(chǎn)者。Web3.0這個(gè)階段的核心理念是數(shù)據(jù)的去中心化和用戶的自主權(quán)。在Web3.0時(shí)代，用戶的數(shù)據(jù)不再被單一的平臺(tái)所控制，而是可以跨平臺(tái)、跨應(yīng)用進(jìn)行共享和使用。同時(shí)，借助區(qū)塊鏈等先進(jìn)技術(shù)，用戶可以對(duì)自己的數(shù)據(jù)進(jìn)行加密和驗(yàn)證，確保數(shù)據(jù)的安全和隱私。實(shí)現(xiàn)網(wǎng)絡(luò)信息共享實(shí)現(xiàn)網(wǎng)絡(luò)信息共建實(shí)現(xiàn)知識(shí)的傳承Web技術(shù)發(fā)展歷程01互聯(lián)網(wǎng)Web1.0Web2.0Web3.0演變靜態(tài)互聯(lián)網(wǎng)平臺(tái)互聯(lián)網(wǎng)價(jià)值互聯(lián)網(wǎng)定位門戶網(wǎng)站平臺(tái)網(wǎng)站用戶互聯(lián)網(wǎng)中心1個(gè)中心：網(wǎng)站1個(gè)中心：平臺(tái)N個(gè)中心：用戶內(nèi)容傳輸單項(xiàng)信息輸出雙向信息交互信息聚鏈與價(jià)值共享用戶角色內(nèi)容消費(fèi)者內(nèi)容生產(chǎn)者內(nèi)容擁有者ID模式無(wú)數(shù)字身份基于平臺(tái)賬戶的數(shù)字身份用戶自主的數(shù)字身份數(shù)據(jù)/內(nèi)容所有權(quán)機(jī)構(gòu)公司或平臺(tái)組織及個(gè)人，可移植Web1.0、Web2.0、Web3.0主要區(qū)別項(xiàng)目一Web安全基礎(chǔ)Web安全與防護(hù)本任務(wù)要點(diǎn)學(xué)習(xí)目標(biāo)Web應(yīng)用的基本架構(gòu)Web安全核心問(wèn)題與傳統(tǒng)安全的區(qū)別熟悉Web應(yīng)用的基本架構(gòu)。了解Web應(yīng)用面臨的安全風(fēng)險(xiǎn)。能夠闡述Web存在安全隱患的原因。任務(wù)二Web安全的核心問(wèn)題目錄CONTENTS01/Web應(yīng)用基本架構(gòu)02/Web安全核心問(wèn)題03/與傳統(tǒng)安全的區(qū)別Web應(yīng)用基本架構(gòu)01Web應(yīng)用基本架構(gòu)01前臺(tái)后臺(tái)Web應(yīng)用前臺(tái)面向網(wǎng)站訪問(wèn)用戶，是給訪問(wèn)網(wǎng)站的用戶看的內(nèi)容和頁(yè)面。通過(guò)前臺(tái)訪問(wèn)可以瀏覽公開(kāi)發(fā)布的內(nèi)容?；趲?shù)據(jù)庫(kù)開(kāi)發(fā)的動(dòng)態(tài)Web網(wǎng)站，可以分為前臺(tái)應(yīng)用和后臺(tái)應(yīng)用。后臺(tái)，也稱為網(wǎng)站管理后臺(tái)，是用于管理網(wǎng)站前臺(tái)的一系列操作。后臺(tái)通常需要賬號(hào)、口令等身份信息進(jìn)行登錄驗(yàn)證后，才能進(jìn)行相關(guān)操作。Web應(yīng)用基本架構(gòu)01Web中間件提供Web服務(wù)的應(yīng)用軟件Web服務(wù)器部署安裝了Web中間件的服務(wù)器Web應(yīng)用基本架構(gòu)01Web應(yīng)用工作原理因特網(wǎng)服務(wù)器鏈接到URL的超鏈HTTP使用此TCP連接瀏覽器程序服務(wù)器程序HTTP客戶建立TCP連接釋放TCP連接

HTTP響應(yīng)報(bào)文

響應(yīng)文檔

HTTP請(qǐng)求報(bào)文

請(qǐng)求文檔三次握手四次分手Web應(yīng)用基本架構(gòu)01Web應(yīng)用工作原理(4)瀏覽器確認(rèn)對(duì)端可寫(xiě)，并將該數(shù)據(jù)包推入Internet，該包經(jīng)過(guò)網(wǎng)絡(luò)最終遞交到對(duì)端服務(wù)程序。(5)服務(wù)端程序拿到該數(shù)據(jù)包后，同樣以HTTP協(xié)議格式解包，然后解析客戶端的意圖。(6)得知客戶端意圖后，進(jìn)行分類處理，或是提供某種文件、或是處理數(shù)據(jù)。(7)將結(jié)果裝入緩沖區(qū)，或是HTML文件、或是一張圖片等。(8)按照HTTP協(xié)議格式將(7)中的數(shù)據(jù)打包(9)服務(wù)器確認(rèn)對(duì)端可寫(xiě)，并將該數(shù)據(jù)包推入Internet，該包經(jīng)過(guò)網(wǎng)絡(luò)最終遞交到客戶端。(10)瀏覽器拿到包后，以HTTP協(xié)議格式解包，然后解析數(shù)據(jù)，假設(shè)是HTML文件。(11)瀏覽器將HTML文件展示在頁(yè)面(1)用戶做出了一個(gè)操作，可以是填寫(xiě)網(wǎng)址敲回車，可以是點(diǎn)擊鏈接，可以是點(diǎn)擊按鍵等，接著瀏覽器獲取了該事件。(2)瀏覽器與對(duì)端服務(wù)程序建立TCP連接。(3)瀏覽器將用戶的事件按照HTTP協(xié)議格式**打包成一個(gè)數(shù)據(jù)包，其實(shí)質(zhì)就是在待發(fā)送緩沖區(qū)中的一段有著HTTP協(xié)議格式的字節(jié)流。Web服務(wù)器的本質(zhì):接收數(shù)據(jù)?HTTP解析?邏輯處理?HTTP封包?發(fā)送數(shù)據(jù)Web應(yīng)用基本架構(gòu)01Web應(yīng)用工作原理(1)當(dāng)用戶點(diǎn)擊一個(gè)網(wǎng)頁(yè)鏈接或?yàn)g覽器加載一些資源(css,jpg…)時(shí)產(chǎn)生。(6)服務(wù)程序解包后，確定其為GET請(qǐng)求，并且是對(duì)該服務(wù)器上的某一資源的請(qǐng)求。首先服務(wù)程序會(huì)去確認(rèn)該路徑是否存在，再確定該路徑的文件是否可以獲取。(7-1)如果請(qǐng)求的路徑有誤，或者該資源不能被用戶獲取，則返回錯(cuò)誤提示頁(yè)面。(7-2)如果該路徑合法且文件可以被獲取，那么服務(wù)程序?qū)⒏鶕?jù)該文件類型進(jìn)行不同的裝載過(guò)程，記錄其類型作為(8)中HTTP協(xié)議中對(duì)應(yīng)的返回類型，并加入響應(yīng)頭。Web服務(wù)器提供靜態(tài)文件工作原理Web應(yīng)用基本架構(gòu)01Web應(yīng)用工作原理(1)用戶提交數(shù)據(jù)，假設(shè)用戶點(diǎn)擊一個(gè)按鍵提交填好的信息。在(3)中將以POST格式寫(xiě)入，并填入提交至服務(wù)端的可執(zhí)行程序的路徑。(6)服務(wù)端將參數(shù)與該CGI綁定，復(fù)制進(jìn)程，用管道傳遞參數(shù)和接收結(jié)果(7)子進(jìn)程執(zhí)行CGI，接收(6)父進(jìn)程傳來(lái)的參數(shù)，運(yùn)算完成返回結(jié)果。Web服務(wù)器處理數(shù)據(jù)提交工作原理Web安全核心問(wèn)題02Web應(yīng)用常見(jiàn)安全風(fēng)險(xiǎn)數(shù)據(jù)信息泄露螞蟻金服數(shù)據(jù)泄露（2021年）人人網(wǎng)數(shù)據(jù)泄露（2020年）美團(tuán)外賣數(shù)據(jù)泄露（2020年）網(wǎng)站篡改頁(yè)面內(nèi)容篡改惡意代碼嵌入網(wǎng)絡(luò)博彩、色情鏈接嵌入業(yè)務(wù)安全風(fēng)險(xiǎn)撞庫(kù)、口令暴力破解惡意注冊(cè)、搶單、搶座、投票DDOS拒絕服務(wù)攻擊Web安全核心問(wèn)題02Web應(yīng)用環(huán)境數(shù)據(jù)庫(kù)安全漏洞操作系統(tǒng)安全漏洞中間件安全漏洞從安全角度考慮，Web應(yīng)用中的中間件、數(shù)據(jù)庫(kù)、操作系統(tǒng)等均會(huì)影響Web系統(tǒng)的安全。因此，在Web系統(tǒng)中，無(wú)論有多少硬件設(shè)備、提供支持的組件有哪些，只要它們?yōu)閃eb提供支持，都要納入防護(hù)體系。Web安全核心問(wèn)題02HTTP協(xié)議作為Web應(yīng)用的基礎(chǔ)協(xié)議，其特點(diǎn)就是用戶請(qǐng)求<——>服務(wù)器響應(yīng)。在這個(gè)過(guò)程中，服務(wù)器一直處于被動(dòng)響應(yīng)狀態(tài)，無(wú)法主動(dòng)獲取用戶的信息。基于這種交換環(huán)境，在客戶端可篡改任何請(qǐng)求參數(shù)，服務(wù)器必須對(duì)請(qǐng)求內(nèi)容進(jìn)行響應(yīng)。Web存在安全隱患的核心問(wèn)題：Web應(yīng)用類型復(fù)雜，防護(hù)經(jīng)驗(yàn)無(wú)法復(fù)用。Web應(yīng)用包含的服務(wù)組件眾多，任意一個(gè)組件出現(xiàn)問(wèn)題都會(huì)影響整體的安全程度。由于HTTP協(xié)議的特性，用戶端的所有行為均不可信。與傳統(tǒng)安全的區(qū)別03對(duì)比項(xiàng)傳統(tǒng)系統(tǒng)安全Web應(yīng)用安全通用性建立在使用較廣的通用軟件基礎(chǔ)上每一個(gè)應(yīng)用相當(dāng)于一個(gè)獨(dú)立的軟件開(kāi)發(fā)者通常是具有較高專業(yè)技術(shù)的廠商和人員，對(duì)安全有一定的理解開(kāi)發(fā)者水平參差不齊，對(duì)于安全的理解往往較為不足漏洞的檢測(cè)建立在漏洞已知、確定的基礎(chǔ)上基于業(yè)務(wù)特點(diǎn)，對(duì)可能的存在的漏洞進(jìn)行檢測(cè)漏洞的挖掘需要對(duì)計(jì)算機(jī)結(jié)構(gòu)、操作系統(tǒng)原理、底層語(yǔ)言等有很深入的了解，難度大只需要掌握基礎(chǔ)的網(wǎng)站架構(gòu)、腳本語(yǔ)言、數(shù)據(jù)庫(kù)知識(shí)，難度低漏洞的修復(fù)由專業(yè)的廠商提供修復(fù)方案應(yīng)用開(kāi)發(fā)人員自行修復(fù)攻擊途徑多數(shù)服務(wù)端口不開(kāi)放在互聯(lián)網(wǎng)上，攻擊途徑較少Web應(yīng)用多數(shù)開(kāi)放在互聯(lián)網(wǎng)上，攻擊途徑較多攻擊特征有數(shù)據(jù)級(jí)的攻擊特征，攻擊行為與正常業(yè)務(wù)行為的差異明顯攻擊特征不明顯，業(yè)務(wù)邏輯類漏洞在數(shù)據(jù)層面無(wú)攻擊特征防護(hù)難度對(duì)于已知漏洞的防護(hù)較為容易防護(hù)難度大Web應(yīng)用安全與傳統(tǒng)安全的區(qū)別課堂實(shí)踐一、任務(wù)名稱：熟悉HTTP請(qǐng)求和響應(yīng)流程二、任務(wù)內(nèi)容：使用瀏覽器訪問(wèn)任意合法網(wǎng)站，打開(kāi)Burpsuit軟件捕獲訪問(wèn)數(shù)據(jù)包，找到用戶請(qǐng)求數(shù)據(jù)報(bào)文和服務(wù)器響應(yīng)數(shù)據(jù)報(bào)文，觀察請(qǐng)求數(shù)據(jù)和響應(yīng)數(shù)據(jù)特點(diǎn)。三、工具需求：瀏覽器、Burpsuit四、任務(wù)要求：完成實(shí)踐練習(xí)后，由老師檢查完成情況。課堂思考一、Web1.0、Web2.0、Web3.0主要區(qū)別有哪些？二、常見(jiàn)的Web中間件有哪些？三、什么是Web服務(wù)器？四、Web網(wǎng)站前臺(tái)和后臺(tái)的主要功能是什么？