Web安全课程设计第二章

Web安全课程设计第二章Web安全基础知识介绍点击添加文本点击添加文本点击添加文本点击添加文本目录0102HTTP协议介绍Web架构介绍第二章Web安全基础知识介绍点击添加文本点击添加文本点击添加文本点击添加文本Web架构介绍-专业词汇理解第二章Web安全基础知识介绍B/S架构：浏览器/服务器C/S架构：客户端/服务器桌面软件：单击、不联网Web应用：开发B/S架构的程序，通过浏览器访问的应用。B/S请求模式用户—浏览器—服务器—程序—执行—返回结果数据库Web应用点击添加文本点击添加文本点击添加文本点击添加文本Web架构介绍-专业词汇理解第二章Web安全基础知识介绍Html:超文本标记语言，静态网页设计语言。ASPPHPJSP…动态网页设计语言静态网页：代码不变，内容不变。动态网页：代码不变，随着环境、时间、数据库的改变导致结果改变。点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍ASPASP简介 ASP是动态服务器页面（ActiveServerPages）的英文缩写，后来也称为经典ASP，是微软公司开发的代替CGI脚本程序的一种应用，也是微软公司的第一个服务器侧的脚本引擎，能够动态产生Web页面。ASP可以与Web数据库以及其它程序进行交互，是一种简单、方便的编程工具。ASP的网页文件的格式是.asp，曾用于各种动态网站中。2002年1月微软发布ASP.NET，用于取代ASP。Web架构介绍中文名动态服务器页面外文名ActiveServerPages英文缩写ASP开发公司微软公司类型Web应用框架表—ASP点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍ASP架构 ASP使用服务器侧的脚本生成页面内容并发给访问者的页面浏览器。ASP解释器读取并执行所有在<%和%>标签之间的脚本代码，并生成内容。这些脚本使用VBScript,JScript和PerlScript编写。@Language指令，<scriptlanguage="manu"runat="server"/>句法或服务器配置都可用于选择语言。 .asp扩展名的Web页面使用ASP技术，一些Web站点为了安全目的，会通过使用更常见的.htm或.html扩展名来伪装他们对脚本语言的选择。.aspx扩展名的页面使用ASP.NET。但是ASP.NET页面也可以包含一些ASP脚本。当介绍ASP.NET时，往往使用经典ASP这一术语来表示原始的ASP技术。ASP只在Windows上运行，一些产品在非微软的Web服务器上仿真了经典ASP的部分功能，比如Apache::ASP移植经典ASP到Apache的Web服务器上，但只能使用PerlScript脚本语言。Web架构介绍点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍ASP特点：1、任何开发工具皆可发展ASP只要使用一般的文书编辑程序，如Windows记事本，就可以编辑。当然，其他网页发展工具，例如，FrontPageExpress、FrontPage等也都可以；不过还是建议你用记事本来写，既省钱又方便，若是使用那些所见即所得的网页编辑来写ASP，可能会发生一些意想不到的离奇状态。2、通吃各家浏览器由于ASP程序是在网络服务器端中执行，执行结果所产生的HTML文件适用于不同的浏览器。3、语言相容性高ASP与所有的ActiveXScript语言都相容，除了可结合HTML，VBScript、JavaScript、ActiveX服务器组件来设计外，并可经由“plug-In（外挂组件模组）的方式，使用其他厂商（ThirdParty）所提供的语言。Web架构介绍点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍4、隐密安全性高如果我们在浏览器中直接查看网页的原始代码，就只能看到HTML文件，原始的ASP程序代码是看不到的！这是因为ASP程序先于网站服务（WebServer）端执行后，将结果转换成标准HTML文件，再传送到客户端（Client）的浏览器上，因此，我们所辛苦撰写的ASP程序并不会轻易地被看见进而被盗用。5、易于操控数据库ASP可以轻易地通过ODBC(OpenDatabaseConnectivity)驱动程序连接各种不同的数据库，例如：Acess、Foxpro、dBase、Oracle等等，另外，ASP亦可将“文本文件”或是”Excel”文件当成数据库用。6、面向对象学习容易ASP具备有面向对象（Object-Oriented）功能，学习容易，ASP提供了五种方便能力强大的内建对象：Request、Response、Sever、Application以及Session，同时，若使用ASP内建的“Application”对象或”Session”对象所撰写出来的ASP程序可以在多个网页之间暂时保存必要的信息。Web架构介绍点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍PHPPHP简介 PHP（外文名:PHP:HypertextPreprocessor，中文名：“超文本预处理器”）是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点，利于学习，使用广泛，主要适用于Web开发领域。PHP独特的语法混合了C、Java、Perl以及PHP自创的语法。它可以比CGI或者Perl更快速地执行动态网页。用PHP做出的动态页面与其他的编程语言相比，PHP是将程序嵌入到HTML（标准通用标记语言下的一个应用）文档中去执行，执行效率比完全生成HTML标记的CGI要高许多；PHP还可以执行编译后代码，编译可以达到加密和优化代码运行，使代码运行更快。Web架构介绍中文名超文本预处理器维护ThePHPGroup外文名PHP:HypertextPreprocessor最新版本PHP5.6.0（28Aug2014）编程范型面向对象、命令式编程操作系统windows/linux/Mac跨平台设计者RasmusLerdorf外语缩写PHP表—PHP点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍PHPPHP特点1、PHP独特的语法混合了C、Java、Perl以及PHP自创新的语法。2、PHP可以比CGI或者Perl更快速的执行动态网页——动态页面方面，与其他的编程语言相比，PHP是将程序嵌入到HTML文档中去执行，执行效率比完全生成htmL标记的CGI要高许多；PHP具有非常强大的功能，所有的CGI的功能PHP都能实现。3、PHP支持几乎所有流行的数据库以及操作系统。4、最重要的是PHP可以用C、C++进行程序的扩展！Web架构介绍点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍PHPPHP优势1、开放源代码所有的PHP源代码事实上都可以得到。2、免费性和其它技术相比，PHP本身免费且是开源代码。3、快捷性程序开发快，运行快，技术本身学习快。嵌入于HTML：因为PHP可以被嵌入于HTML语言，它相对于其他语言。编辑简单，实用性强，更适合初学者。4、跨平台性强由于PHP是运行在服务器端的脚本，可以运行在UNIX、LINUX、WINDOWS、MacOS、Android等平台Web架构介绍点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍6、图像处理用PHP动态创建图像,PHP图像处理默认使用GD2。且也可以配置为使用imagemagick进行图像处理。7、面向对象在php4,php5中，面向对象方面都有了很大的改进，php完全可以用来开发大型商业程序。8、专业专注PHP支持脚本语言为主，同为类C语言。Web架构介绍点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍JSPJSP简介 JSP全名为JavaServerPages，中文名叫java服务器页面，其根本是一个简化的Servlet设计，它是由SunMicrosystems公司倡导、许多公司参与一起建立的一种动态网页技术标准。JSP技术有点类似ASP技术，它是在传统的网页HTML（标准通用标记语言的子集）文件(*.htm,*.html)中插入Java程序段(Scriptlet)和JSP标记(tag)，从而形成JSP文件，后缀名为(*.jsp)。用JSP开发的Web应用是跨平台的，既能在Linux下运行，也能在其他操作系统上运行。它实现了Html语法中的java扩展（以<%,%>形式）。JSP与Servlet一样，是在服务器端执行的。通常返回给客户端的就是一个HTML文本，因此客户端只要有浏览器就能浏览。Servlet（ServerApplet），全称JavaServlet，未有中文译文。是用Java编写的服务器端程序。其主要功能在于交互式地浏览和修改数据，生成动态Web内容。Web架构介绍点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍JSP技术使用Java编程语言编写类XML的tags和scriptlets，来封装产生动态网页的处理逻辑。网页还能通过tags和scriptlets访问存在于服务端的资源的应用逻辑。JSP将网页逻辑与网页设计的显示分离，支持可重用的基于组件的设计，使基于Web的应用程序的开发变得迅速和容易。JSP(JavaServerPages)是一种动态页面技术，它的主要目的是将表示逻辑从Servlet中分离出来。Web架构介绍点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍JSP技术使用Java编程语言编写类XML的tags和scriptlets，来封装产生动态网页的处理逻辑。网页还能通过tags和scriptlets访问存在于服务端的资源的应用逻辑。JSP将网页逻辑与网页设计的显示分离，支持可重用的基于组件的设计，使基于Web的应用程序的开发变得迅速和容易。JSP(JavaServerPages)是一种动态页面技术，它的主要目的是将表示逻辑从Servlet中分离出来。JavaServlet是JSP的技术基础，而且大型的Web应用程序的开发需要JavaServlet和JSP配合才能完成。JSP具备了Java技术的简单易用，完全的面向对象，具有平台无关性且安全可靠，主要面向因特网的所有特点。Web架构介绍中文名JAVA服务器页面外文名JavaServerPages外语缩写JSP本质动态网页技术标准表—JSP点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍Web架构介绍JSP语言标准一个JSP页面可以被分为以下几部份：•静态数据，如HTML•JSP指令，如include指令•JSP脚本元素和变量•JSP动作•用户自定义标签点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍Web架构介绍JSP优点（1）一次编写，到处运行。除了系统之外，代码不用做任何更改。（2）系统的多平台支持。基本上可以在所有平台上的任意环境中开发，在任意环境中进行系统部署，在任意环境中扩展。相比ASP的局限性JSP的优势是显而易见的。（3）强大的可伸缩性。从只有一个小的Jar文件就可以运行Servlet/JSP，到由多台服务器进行集群和负载均衡，到多台Application进行事务处理，消息处理，一台服务器到无数台服务器，Java显示了一个巨大的生命力。（4）多样化和功能强大的开发工具支持。这一点与ASP很像，Java已经有了许多非常优秀的开发工具，而且许多可以免费得到，并且其中许多已经可以顺利的运行于多种平台之下。(5)支持服务器端组件。web应用需要强大的服务器端组件来支持，开发人员需要利用其他工具设计实现复杂功能的组件供web页面调用，以增强系统性能。JSP可以使用成熟的JAVABEANS组件来实现复杂商务功能。点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍Web架构介绍JSP缺点（1）与ASP也一样，Java的一些优势正是它致命的问题所在。正是由于为了跨平台的功能，为了极度的伸缩能力，所以极大的增加了产品的复杂性。（2）Java的运行速度是用class常驻内存来完成的，所以它在一些情况下所使用的内存比起用户数量来说确实是“最低性能价格比”了。点击添加文本点击添加文本点击添加文本点击添加文本目录0102HTTP协议介绍Web架构介绍第二章Web安全基础知识介绍点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍HTTP协议介绍随着Web2.0时代的到来，互联网从传统的C/S架构（客户机和服务器结构）转变为更加方便快捷的B/S架构。（B/S即浏览器/服务器结构，就像我们访问过的所有网站，客户机上只需要一个浏览器即可上网冲浪。当客户端与Web服务器进行交互时，就存在Web请求，这种请求都基于统一的应用层协议(HTTP协议)交互数据。HTTP(HyperTextTransferProtocol)即超文本传输协议，是一种详细规定了浏览器和万维网服务器之间互相通信的规则，它是万维网交换信息的基础，它允许将HTML(超文本标记语言)文档从Web服务器传送到Web浏览器。点击添加文本点击添加文本点击添加文本点击添加文本HTTP协议介绍第二章Web安全基础知识介绍HTTP:超文本传输协议，方便客户端与多种服务器交互而制定的协议。通过浏览器访问的基本协议。B/S

北大附中网站

支付宝网站点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍HTTP协议介绍HTTP协议目前最新版的版本是1.1，HTTP是一种无状态的协议。无状态是指Web浏览器与Web服务器之间不需要建立持久的连接,这意味着当一个客户端向服务器端发出请求，然后Web服务器返回响应（Response)，连接就被关闭了，在服务器端不保留连接的有关信息。也就是说，HTTP请求只能由客户端发起，而服务器不能主动向客户端发送数据。HTTP遵循请求（Request）/应答（Response）模型，Web浏览器向Web服务器发送请求时，Web服务器处理请求并返回适当的应答，如图2-1所示：点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍HTTP协议介绍图2-1Response:1、接受请求生成数据2、转化为静态页面3、反馈给用户Request:URL组成http://18:8007/Login.aspx

协议名主机名端口资源名点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍HTTP协议介绍HTTP协议的主要特点:1.支持客户/服务器模式。2.简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。3.灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。4.无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。5.无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。下面将对常用get、post及其它请求方法进行详细介绍。点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍HTTP协议介绍GET请求获取资源，服务器不做任何工作GET方法用于获取请求页面的指定信息(以实体的格式)。如果请求资源为动态脚本(非HTML),那么返回文本Web容器解析后的HTML源代码，而不是源文件。例如请求index.jsp，返回的不是index.jsp的源文件，而是经过解析后的HTML代码。如下HTTP请求:GET/index.php?id=1HTTP/1.1方法

资源名协议版本HOST:使用GET请求index.php，并且id参数为1，在服务器端脚本语言中可以选择性地接收这些参数，比如id=1&name=admin，一般都是由开发者内定好的参数项目才会接收，比如开发者只接收id参数项目，若加了其他参数项，如:Index.php?id=l&usernarne=admin//多个参数项以"&"分隔,服务器端脚本不会理会你加入的内容，依然只会接收id参数，并且去查询数据，最终向服务器端发送解析过的HTML数据，不会因为你的干扰而乱套。点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍HTTP协议介绍POST请求：更新数据库、请求服务器做处理POST方法也与GET方法相似，但最大的区别在于，GET方法没有请求内容，而POST是有请求内容的。POST请求最多用于向服务器发送大量的数据。GET虽然也能发送数据，但是有大小(长度)的限制，并且GET请求会将发送的数据显示在浏览器端，而POST则不会，所以安全性相对来说高一点。例如，上传文件、提交留言等，只要是向服务器传输大量的数据，通常都会使用POST请求。点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍HTTP协议介绍一个经典的HTTPPOST请求如下:POST/login.phpHTTP/1.1Host:Content-Length:26Accept:text/html，application/xhtml+xml，application/xml;q=0.9，*/*;q=0.8Origin:User-Agent:Mozilla/5.0(WindowsNT6.1)AppleWebKit/537.17(KHTML，likeGecko)Chrome/24.0.1312.57Safari/537.17SE2.XmetaSr1.0Content-Type:application/x-www-form-urlencodedAccept-Language:zh-CN，zh;q=0.8Accept-Charset:GBK，utf-8;q=0.7，*;q=O.3

user=admins&pw=123456789用POST方法向服务器请求login.php，并且传递参数user=admins&pw=123456789。点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍HTTP协议介绍其他HTTP请求HEADHEAD方法除了服务器不能在响应里返回消息主体外，其他都与GET方法相同。此方法经常被用来测试超文本链接的有效性、可访问性和最近的改变。攻击者编写扫描工具时，就常用此方法，因为只测试资源是否存在，而不用返回消息主题，所以速度一定是最快的。一个经典的HTTPHEAD请求如下:HEAD/index.phpHTTP/1.1HOST:点击添加文本点击添加文本点击添加文本点击添加文本第二章Web安全基础知识介绍HTTP协议介绍