項目1：Web應(yīng)用安全基礎(chǔ)

項目1：Web應(yīng)用安全基礎(chǔ)項目目標知識目標1.了解web安全起源2.理解web體系結(jié)構(gòu)3.掌握Web應(yīng)用安全分析能力目標1.能對瀏覽器安全設(shè)置2.能對服務(wù)器安全配置情感目標1.自主、開放的學習能力2.良好的自我表現(xiàn)、與人溝通能力3.良好的團隊合作精神目錄03Web應(yīng)用安全01Web安全起源02Web系統(tǒng)架構(gòu)&owasptop10目錄1.Web安全起源文件傳輸郵件服務(wù)打印機服務(wù)Windows系統(tǒng)RPC服務(wù)Linux系統(tǒng)ssh服務(wù)1.Web技術(shù)發(fā)展不成熟2.攻擊系統(tǒng)服務(wù)可以獲取高權(quán)限網(wǎng)絡(luò)安全初期1.Web安全起源靜態(tài)頁面CGI調(diào)用其他程序Web編程腳本語言框架橫飛前段發(fā)展異步請求前端框架1.Web安全起源數(shù)據(jù)關(guān)乎于企業(yè)的信譽和個人安全獲取重要的敏感數(shù)據(jù)攻擊用戶的瀏覽器面向安全意識薄弱的用戶Web安全的兩個里程碑目錄03Web應(yīng)用安全01Web安全起源02Web系統(tǒng)架構(gòu)&owasptop10目錄2.1Web系統(tǒng)架構(gòu)

B/S（即Broswer/Server）解決了C/S（Client/Server）所帶來的不便，在C/S結(jié)構(gòu)的情況下，不同的服務(wù)需要安裝不同的客戶端軟件，比如QQ、迅雷、Foxmail這種情況下安裝的軟件會越來越多.B/S架構(gòu)將所有的服務(wù)都可以通過瀏覽器來完成（因為基本所有瀏覽器都安裝了瀏覽器）。但B/S也有一些不利，比如操作穩(wěn)定性、流暢度等方面相對較弱。2.1Web系統(tǒng)架構(gòu)瀏覽器三大瀏覽器：Firefox、IE,chrome服務(wù)器Apache，iis，nginx數(shù)據(jù)庫Mysql，SqlServer，Oracle等RequestResponseSQLResulthttp協(xié)議Sql命令支撐服務(wù)軟件應(yīng)用軟件：tomcat，jboss等2.2OWASPTOP10Owasp:開源web應(yīng)用安全項目，是一個國際權(quán)威的安全社區(qū)。官方網(wǎng)址：10項最嚴重的web應(yīng)用程序安全風險，這些數(shù)據(jù)包含了數(shù)以百計的組織和超過10萬個應(yīng)用程序和api中收集的漏洞，結(jié)合了可用性，可檢測性和影響程度評估而成。目錄03Web應(yīng)用安全01Web安全起源02Web系統(tǒng)架構(gòu)&owasptop10目錄4.Web應(yīng)用安全Web應(yīng)用安全體現(xiàn)：（1）Web協(xié)議安全（Http）（2）WEB服務(wù)器端安全問題（支撐軟件、應(yīng)用程序）（3）Web客戶端（瀏覽器）4.Web應(yīng)用安全—http協(xié)議1.HTTP協(xié)議概述（1）http(超文本傳輸協(xié)議)，1990年提出來了，當前的版本是http1.1（2）http是一個請求和回應(yīng)協(xié)議：客戶端提出請求，服務(wù)器對請求給出回應(yīng)。（3）http使用的是使用TCP協(xié)議進行連接，端口號是80（4）http請求方法（get，post，head，put，delete，option，trace）Get，明文傳輸，傳輸?shù)臄?shù)據(jù)顯示在地址欄，最大傳輸為2kb，Post，密文傳輸，傳輸?shù)臄?shù)據(jù)沒有限制。4.Web應(yīng)用安全—http協(xié)議2.http協(xié)議安全問題（1）信息泄漏（傳輸數(shù)據(jù)明文）（2）弱驗證（會話雙方?jīng)]有嚴格認證機制）http1.1提供摘要訪問認證機制，采用MD5將用戶名、密碼、請求包頭等進行封裝，但仍然不提供對實體信息的保護，無法有效解決信息泄露、數(shù)據(jù)篡改、重放攻擊等安全問題（3）缺乏狀態(tài)跟蹤（請求響應(yīng)機制決定http是一個無狀態(tài)協(xié)議）Cookie+Session解決方案帶來的安全問題4.Web應(yīng)用安全—http協(xié)議3.HTTP工作機制-請求響應(yīng)模式3.1HTTP請求包含三個部分1.開始行：方法/URL協(xié)議/版本2.首部行：請求頭部3.實體主體：請求正文（一般不用）3.2HTTP響應(yīng)包含三個部分1.協(xié)議狀態(tài)代碼描述2.響應(yīng)包頭3.實體包請求正文…..4.Web應(yīng)用安全—http協(xié)議4.http請求數(shù)據(jù)結(jié)構(gòu)（1）user_agent（簡稱UA）（2）X-Forwarded-For（主要是為了讓web服務(wù)器獲取訪問用戶的真實IP地址，未必真實，可以偽造）（3）Referer（表示從哪兒鏈接到服務(wù)器的網(wǎng)頁）（4）Content-Type（定義網(wǎng)絡(luò)文件的類型和網(wǎng)頁的編碼，用來程序間傳送內(nèi)容相關(guān)的編碼信息）（5）Accept（代表發(fā)送端希望接收的數(shù)據(jù)類型）（6）Accept-Charset（編碼）（7）Accept-Encoding（瀏覽器支持的壓縮編碼）（8）host（表示請求的服務(wù)器網(wǎng)址）（9）keep-Alive表示持久鏈接4.Web應(yīng)用安全—http協(xié)議5.http狀態(tài)碼分類當瀏覽器訪問一個網(wǎng)頁時，瀏覽器會向服務(wù)器發(fā)送請求，在瀏覽器接收并顯示網(wǎng)頁前，此頁面所在的服務(wù)器會返回一個包含http狀態(tài)碼的信息頭，用以響應(yīng)瀏覽器的請求。HTTP狀態(tài)碼分類分類分類描述1**信息，服務(wù)器收到請求，需要請求者繼續(xù)執(zhí)行操作2**成功，操作被成功接收并處理3**重定向，需要進一步的操作以完成請求4**客戶端錯誤，請求包含語法錯誤或無法完成請求5**服務(wù)器錯誤，服務(wù)器在處理請求的過程中發(fā)生了錯誤4.Web應(yīng)用安全—服務(wù)器安全服務(wù)支撐軟件安全問題軟件自身安全漏洞例：IIS5.0超長URL拒絕服務(wù)漏洞軟件配置缺陷默認賬號、口令不安全的配置例：IIS配置允許遠程寫入應(yīng)用軟件安全問題4.Web應(yīng)用安全—Apache安全配置ApacheHTTPServer（Apache），阿帕奇安全配置只安裝所需要的組件隱藏Apahce版本不用root運行Apache禁用目錄瀏覽設(shè)置每個連接的最大請求數(shù)建立專門錯誤頁面勤打補丁194.Web應(yīng)用安全—IIS安全設(shè)置20配置身份驗證配置地址和域名訪問規(guī)則配置SSL安全配置U