信息安全技术与应用（高学勤）课件 2.1 Web安全概述

第2节Web安全概述第2章目

录Web应用基础Web安全的发展0102OWASPTOP10简介0301Web应用基础Web应用概述Web是目前使用最广泛的网络和应用技术。CNCERT/CC网络安全监测系统对流量数据进行的抽样统计显示，Web应用流量占整个TCP流量的81.1%Web流量居统治地位：新闻资讯、电子商务、网上银行、证劵、手机上网、电子政务。注：关于Web应用基础的内容介绍，请参阅第二章/Web应用基础.mp4Web应用概述Web服务器也称为WWW（WorldWideWeb,万维网）服务器，主要功能是提供网上信息浏览服务。Web用于解析HTTP/HTTPS协议。当Web服务器接收到一个http请求(request)，会返回一个http响应(response)，如：返回一个html页面，但一般而言，Web服务器不用于处理业务逻辑。什么是WebWeb应用概述Web浏览器访问Web服务器资源：Web的工作机制Web服务器客户机Web服务器存放着各类Web资源（文件、图片等）HTTP找到了，给你我需要xx文件（通过URL指定位置）Web应用概述Web典型四层架构访问表示层呈现HTML加载、编译并执行index.php逻辑层发送HTMLWeb浏览器/呈现引擎与数据存储交互，利用应用程序和业务逻辑应用层为Web服务器提供数据执行SQL存储层返回数据编程语言：C#、ASP、.NET、PHP、JSP等CFC、EJB、SQAP、RMWeb服务等数据库：MSSQL、MySQL、Oracle等脚本引擎RDBMSWeb应用概述Web三大支撑技术01.统一资源定位（URL）URL是对互联网上的信息资源进行命名和定位的一种标准机制，用于说明如何访问Web资源，包括服务器名称、路径、文件名等。URL格式例如：/main.htm<协议>：//<主机名：端口>/<文件路径>Web应用概述02.超文本标记语言（HTML）HTML是一种能够为所有计算机所理解的信息资源描述语言，HTML文档经浏览器解释后，就展现为丰富多彩的Web页面。03.超文本传输协议（HTTP）HTTP是一种详细规定了浏览器和万维网服务器之间互相通信的规则，通过因特网传送万维网文档的数据传送协议。HTTP是一个应用层协议，由请求和响应构成，是一个标准的客户端服务器模型。HTTP协议分析HTTP协议概述HTTP（HypertextTransferProtocol）的中文全称为：超文本传输协议，是一种分布式、合作式的多媒体信息系统服务。HTTP是面向应用层的协议、基于传输层的TCP协议进行通信。HTTP协议是通用的、无状态的协议。用于在服务器和客户机之间传输超文本文件。Web服务器客户机向服务器发出Web请求1Internet功能2寻找页面将文档传送给Web浏览器3HTTP协议分析HTTP协议的组成请求行：方法，URI，协议/版本（Method-URI-Protocol/Version）请求头部（Requestheaders)请求实体（Entitybody）相应行：协议，状态码，代码描述（Protocol-Statuscode-Description）响应头部（Responseheaders）响应实体（Entitybody）HTTP请求（Requests）HTTP响应（Responses）HTTP协议分析HTTP请求报文HTTP请求结构请求方法空格URL空格协议版本回车符换行符头部字段名：值回车符换行符回车符换行符...请求实体请求头部请求行头部字段名：值回车符换行符请求行请求头部请求数据HTTP协议分析HTTP响应报文HTTP响应结构协议版本空格状态码空格状态码描述回车符换行符头部字段名：值回车符换行符回车符换行符...响应实体响应头部请求行头部字段名：值回车符换行符第一行请求行：说明协议是使用的HTTP1.1，响应请求已成功(200表示成功)，一切已OK响应的实体是HTML那一部分的内容。头部和实体也都是被CRLF序列分离开的响应头部和请求头部相似，也包含一些有用的信息。HTTP协议分析常见的HTTP请求方法请求方法含义GET请求获取由Request-URI所表示的资源POST在Request-URI所标识的资源后附加新的数据HEAD请求获取由Request-URI所标识的资源的响应消息报头PUT请求服务器存储一个资源，并用Request-URI作为其标识DELETE请求服务器删除由Request-URI所标识的资源TRACE请求服务器回送收到的请求信息，主要用于测试或诊断OPTIONS查看服务器对某个特定URL都支持哪些请求方法CONNECT用于某些代理服务器，能把请求的连接转化为一个安全隧道HTTP协议分析HTTP响应状态码状态码定义说明1XX信息接收到请求，继续处理2XX成功操作成功地收到，理解和接受3XX重定向为了完成请求，必须采取进一步措施4XX客户端错误请求的语法有错误或不能完成被满足5XX服务端错误服务器无法完成明显有效的请求HTTPS协议概念HTTPS（HypertextTransferProtocoloverSecureSocketLayer），是以安全为目标的HTTP通道，在HTTP下加入SSL层的协议。HTTPS和HTTP的区别HTTPS协议需要到CA申请证书。HTTP是明文传输，HTTPS则是具有安全性的SSL加密传输协议。HTTP和HTTPS使用的端口也不一样，前者是80，后者是443。HTTP的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比HTTP协议安全。HTTP协议分析常见的服务器中间件中间件概念中间件（Middleware）是提供系统软件和应用软件之间连接的软件。中间件是一种独立的系统软件或服务程序，分布式应用软件借助这种软件在不同的技术之间共享资源。中间件是一类软件的总称，不是单独的一个软件。中间件可以叫做中间件服务器，也可以叫做应用服务器。常见中间件IIS、Apache、Nginx、Tomcat常见的服务器中间件IIS简介IIS（InternetInformationServices）即互联网信息服务，是由微软公司提供的基于运行MicrosoftWindows的互联网基本服务。利用IIS，可以发布网页，并且支持ASP（ActiveServerPages）、JAVA、VBscript等脚本格式，同时支持一些扩展功能。IIS控制台界面常见的服务器中间件Apache简介Apache是目前世界上使用人数最多的服务器中间件。Apache可以运行在几乎所有广泛使用的计算机平台上，由于其跨平台和安全性被广泛使用。Apache首页常见的服务器中间件Nginx简介Nginx是一款轻量级的Web服务器/反向代理服务器一个高性能的HTTP和反向代理的Web应用服务器。Nginx首页Nginx的优势在于免费开源、高性能、稳定性强。国内多数大型企业均有应用Nginx，如：百度、新浪、网易、腾讯、淘宝等。常见的服务器中间件Tomcat简介Tomcat是一个免费、开源的Web应用服务器。Tomcat属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP程序的首选。Tomcat首页02Web攻击手段的变化Web攻击的变化趋势Web攻击的发展特点早期

炫耀Web攻击技术现在

政治、经济等利益驱使，窃取Web应用数据Web攻击的发展趋势趋势一

Web应用数据泄露越来越严重超过半数的网站Web应用数据遭受泄露、造成重大财务损失；趋势二“云”上业务威胁越来越多企业的业务上“云”，让黑客有了更多的攻击目标；趋势三

针对API接口的攻击越来越普遍大数据时代下，普遍应用的API接口被忽视安全使用规范，造成攻击威胁。SQL注入

XSS跨站脚本

CSRF跨站请求伪造文件上传文件包含命令执行逻辑漏洞

XML外部实体注入目录遍历会话固定点击劫持

CC攻击常见Web应用攻击手段常见Web应用攻击手段新型Web应用攻击攻击手段一供应链攻击供应链攻击是一种以软件开发人员和供应商为目标的一种威胁,攻击者通过感染合法应用来分发恶意软件来访问源代码、构建过程或更新机制从而达到对开发人员和供应商进行攻击的目的。攻击事件2020年12月，SolarWinds旗下软件被用于供应链攻击。2021年03月，国际航空电信公司(SITA)受到供应链攻击。攻击手段二第三方组件攻击Web应用有将近80%的代码来自于第三方组件、依赖的类库，攻击者通过第三方组件的安全漏洞，可快速攻陷服务器。03OWASPTOP10简介什么是OWASPTOP10？OWASP开放式Web应用程序安全项目（OpenWebApplicationSecurityProject）OWASP是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。什么是OWASPTOP10OWASP每隔数年会更新10个最关键的Web应用安全问题清单，即OWASPTOP10。OWASPTOP10不是官方文档或标准，而是一个被广泛采用的意识文档，被用来分类网络安全漏洞的严重程度，目前被许多漏洞奖励平台和企业安全团队评估错误报告。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞，可以帮助IT公司和开发团队规范应用程序开发流程和测试流程，提高Web产品的安全性。什么是OWASPTOP10？OWASP在业界的影响力推动了数以百万的IT从业人员对应用安全的关注以及理解，并为各类企业的应用安全提供了明确的指引。12345OWASP被视为Web应用安全领域的权威参考。国际信用卡数据安全技术PCI标准更将其列为必要组件。为欧洲网络与信息安全局（ENISA),云计算风险评估提供参考。为美国国家安全局/中央安全局，可管理的网络计划提供参考。成为IBMAPPSCAN、HPWEBINSPECT等扫描器漏洞参考的主要标准。OWASPTOP10主要内容2013年、2017年的OWASPTOP