Web安全與防護 （微課版） 課件 01-1 項目一 任務一二 Web安全核心問題

項目一Web安全基礎Web安全與防護本任務要點學習目標Web技術發(fā)展階段了解Web技術發(fā)展各階段的典型應用。能闡述Web技術發(fā)展各階段的區(qū)別和聯(lián)系。任務一Web技術發(fā)展歷程目錄CONTENTS01/Web技術發(fā)展歷程Web技術發(fā)展歷程01TimBerners-Lee于1989年在歐洲核子研究組織（CERN）正式提出萬維網(wǎng)的設想。Web技術的發(fā)展變遷經(jīng)歷了Web1.0，2.0，3.0三個時代。Web技術發(fā)展歷程01Web1.0初代的互聯(lián)網(wǎng)，它的主要特點是靜態(tài)的網(wǎng)頁內(nèi)容。Web1.0的本質(zhì)是聚合、聯(lián)合、搜索，解決人們對信息搜索、聚合的要求。Web2.0這個階段的互聯(lián)網(wǎng)更加注重用戶的參與和互動。用戶不僅可以瀏覽網(wǎng)頁內(nèi)容，還可以創(chuàng)建自己的博客、社交媒體賬戶等，與其他用戶進行交流和分享，用戶既是信息的消費者，也是信息的生產(chǎn)者。Web3.0這個階段的核心理念是數(shù)據(jù)的去中心化和用戶的自主權。在Web3.0時代，用戶的數(shù)據(jù)不再被單一的平臺所控制，而是可以跨平臺、跨應用進行共享和使用。同時，借助區(qū)塊鏈等先進技術，用戶可以對自己的數(shù)據(jù)進行加密和驗證，確保數(shù)據(jù)的安全和隱私。實現(xiàn)網(wǎng)絡信息共享實現(xiàn)網(wǎng)絡信息共建實現(xiàn)知識的傳承Web技術發(fā)展歷程01互聯(lián)網(wǎng)Web1.0Web2.0Web3.0演變靜態(tài)互聯(lián)網(wǎng)平臺互聯(lián)網(wǎng)價值互聯(lián)網(wǎng)定位門戶網(wǎng)站平臺網(wǎng)站用戶互聯(lián)網(wǎng)中心1個中心：網(wǎng)站1個中心：平臺N個中心：用戶內(nèi)容傳輸單項信息輸出雙向信息交互信息聚鏈與價值共享用戶角色內(nèi)容消費者內(nèi)容生產(chǎn)者內(nèi)容擁有者ID模式無數(shù)字身份基于平臺賬戶的數(shù)字身份用戶自主的數(shù)字身份數(shù)據(jù)/內(nèi)容所有權機構公司或平臺組織及個人，可移植Web1.0、Web2.0、Web3.0主要區(qū)別項目一Web安全基礎Web安全與防護本任務要點學習目標Web應用的基本架構Web安全核心問題與傳統(tǒng)安全的區(qū)別熟悉Web應用的基本架構。了解Web應用面臨的安全風險。能夠闡述Web存在安全隱患的原因。任務二Web安全的核心問題目錄CONTENTS01/Web應用基本架構02/Web安全核心問題03/與傳統(tǒng)安全的區(qū)別Web應用基本架構01Web應用基本架構01前臺后臺Web應用前臺面向網(wǎng)站訪問用戶，是給訪問網(wǎng)站的用戶看的內(nèi)容和頁面。通過前臺訪問可以瀏覽公開發(fā)布的內(nèi)容?；趲?shù)據(jù)庫開發(fā)的動態(tài)Web網(wǎng)站，可以分為前臺應用和后臺應用。后臺，也稱為網(wǎng)站管理后臺，是用于管理網(wǎng)站前臺的一系列操作。后臺通常需要賬號、口令等身份信息進行登錄驗證后，才能進行相關操作。Web應用基本架構01Web中間件提供Web服務的應用軟件Web服務器部署安裝了Web中間件的服務器Web應用基本架構01Web應用工作原理因特網(wǎng)服務器鏈接到URL的超鏈HTTP使用此TCP連接瀏覽器程序服務器程序HTTP客戶建立TCP連接釋放TCP連接

HTTP響應報文

響應文檔

HTTP請求報文

請求文檔三次握手四次分手Web應用基本架構01Web應用工作原理(4)瀏覽器確認對端可寫，并將該數(shù)據(jù)包推入Internet，該包經(jīng)過網(wǎng)絡最終遞交到對端服務程序。(5)服務端程序拿到該數(shù)據(jù)包后，同樣以HTTP協(xié)議格式解包，然后解析客戶端的意圖。(6)得知客戶端意圖后，進行分類處理，或是提供某種文件、或是處理數(shù)據(jù)。(7)將結果裝入緩沖區(qū)，或是HTML文件、或是一張圖片等。(8)按照HTTP協(xié)議格式將(7)中的數(shù)據(jù)打包(9)服務器確認對端可寫，并將該數(shù)據(jù)包推入Internet，該包經(jīng)過網(wǎng)絡最終遞交到客戶端。(10)瀏覽器拿到包后，以HTTP協(xié)議格式解包，然后解析數(shù)據(jù)，假設是HTML文件。(11)瀏覽器將HTML文件展示在頁面(1)用戶做出了一個操作，可以是填寫網(wǎng)址敲回車，可以是點擊鏈接，可以是點擊按鍵等，接著瀏覽器獲取了該事件。(2)瀏覽器與對端服務程序建立TCP連接。(3)瀏覽器將用戶的事件按照HTTP協(xié)議格式**打包成一個數(shù)據(jù)包，其實質(zhì)就是在待發(fā)送緩沖區(qū)中的一段有著HTTP協(xié)議格式的字節(jié)流。Web服務器的本質(zhì):接收數(shù)據(jù)?HTTP解析?邏輯處理?HTTP封包?發(fā)送數(shù)據(jù)Web應用基本架構01Web應用工作原理(1)當用戶點擊一個網(wǎng)頁鏈接或瀏覽器加載一些資源(css,jpg…)時產(chǎn)生。(6)服務程序解包后，確定其為GET請求，并且是對該服務器上的某一資源的請求。首先服務程序會去確認該路徑是否存在，再確定該路徑的文件是否可以獲取。(7-1)如果請求的路徑有誤，或者該資源不能被用戶獲取，則返回錯誤提示頁面。(7-2)如果該路徑合法且文件可以被獲取，那么服務程序?qū)⒏鶕?jù)該文件類型進行不同的裝載過程，記錄其類型作為(8)中HTTP協(xié)議中對應的返回類型，并加入響應頭。Web服務器提供靜態(tài)文件工作原理Web應用基本架構01Web應用工作原理(1)用戶提交數(shù)據(jù)，假設用戶點擊一個按鍵提交填好的信息。在(3)中將以POST格式寫入，并填入提交至服務端的可執(zhí)行程序的路徑。(6)服務端將參數(shù)與該CGI綁定，復制進程，用管道傳遞參數(shù)和接收結果(7)子進程執(zhí)行CGI，接收(6)父進程傳來的參數(shù)，運算完成返回結果。Web服務器處理數(shù)據(jù)提交工作原理Web安全核心問題02Web應用常見安全風險數(shù)據(jù)信息泄露螞蟻金服數(shù)據(jù)泄露（2021年）人人網(wǎng)數(shù)據(jù)泄露（2020年）美團外賣數(shù)據(jù)泄露（2020年）網(wǎng)站篡改頁面內(nèi)容篡改惡意代碼嵌入網(wǎng)絡博彩、色情鏈接嵌入業(yè)務安全風險撞庫、口令暴力破解惡意注冊、搶單、搶座、投票DDOS拒絕服務攻擊Web安全核心問題02Web應用環(huán)境數(shù)據(jù)庫安全漏洞操作系統(tǒng)安全漏洞中間件安全漏洞從安全角度考慮，Web應用中的中間件、數(shù)據(jù)庫、操作系統(tǒng)等均會影響Web系統(tǒng)的安全。因此，在Web系統(tǒng)中，無論有多少硬件設備、提供支持的組件有哪些，只要它們?yōu)閃eb提供支持，都要納入防護體系。Web安全核心問題02HTTP協(xié)議作為Web應用的基礎協(xié)議，其特點就是用戶請求<——>服務器響應。在這個過程中，服務器一直處于被動響應狀態(tài)，無法主動獲取用戶的信息?；谶@種交換環(huán)境，在客戶端可篡改任何請求參數(shù)，服務器必須對請求內(nèi)容進行響應。Web存在安全隱患的核心問題：Web應用類型復雜，防護經(jīng)驗無法復用。Web應用包含的服務組件眾多，任意一個組件出現(xiàn)問題都會影響整體的安全程度。由于HTTP協(xié)議的特性，用戶端的所有行為均不可信。與傳統(tǒng)安全的區(qū)別03對比項傳統(tǒng)系統(tǒng)安全Web應用安全通用性建立在使用較廣的通用軟件基礎上每一個應用相當于一個獨立的軟件開發(fā)者通常是具有較高專業(yè)技術的廠商和人員，對安全有一定的理解開發(fā)者水平參差不齊，對于安全的理解往往較為不足漏洞的檢測建立在漏洞已知、確定的基礎上基于業(yè)務特點，對可能的存在的漏洞進行檢測漏洞的挖掘需要對計算機結構、操作系統(tǒng)原理、底層語言等有很深入的了解，難度大只需要掌握基礎的網(wǎng)站架構、腳本語言、數(shù)據(jù)庫知識，難度低漏洞的修復由專業(yè)的廠商提供修復方案應用開發(fā)人員自行修復攻擊途徑多數(shù)服務端口不開放在互聯(lián)網(wǎng)上，攻擊途徑較少Web應用多數(shù)開放在互聯(lián)網(wǎng)上，攻擊途徑較多攻擊特征有數(shù)據(jù)級的攻擊特征，攻擊行為與正常業(yè)務行為的差異明顯攻擊特征不明顯，業(yè)務邏輯類漏洞在數(shù)據(jù)層面無攻擊特征防護難度對于已知漏洞的防護較為容易防護難度大Web應用安全與傳統(tǒng)安全的區(qū)別課堂實踐一、任務名稱：熟悉HTTP請求和響應流程二、任務內(nèi)容：使用瀏覽器訪問任意合法網(wǎng)站，打開Burpsuit軟件捕獲訪問數(shù)據(jù)包，找到用戶請求數(shù)據(jù)報文和服務器響應數(shù)據(jù)報文，觀察請求數(shù)據(jù)和響應數(shù)據(jù)特點。三、工具需求：瀏覽器、Burpsuit四、任務要求：完成實踐練習后，由老師檢查完成情況。課堂思考一、Web1.0、Web2.0、Web3.0主要區(qū)別有哪些？二、常見的Web中間件有哪些？三、什么是Web服務器？四、Web網(wǎng)站前臺和后臺的主要功能是什么？