Web安全与防护 （微课版） 课件 01-1 项目一 任务一二 Web安全核心问题

项目一Web安全基础Web安全与防护本任务要点学习目标Web技术发展阶段了解Web技术发展各阶段的典型应用。能阐述Web技术发展各阶段的区别和联系。任务一Web技术发展历程目录CONTENTS01/Web技术发展历程Web技术发展历程01TimBerners-Lee于1989年在欧洲核子研究组织（CERN）正式提出万维网的设想。Web技术的发展变迁经历了Web1.0，2.0，3.0三个时代。Web技术发展历程01Web1.0初代的互联网，它的主要特点是静态的网页内容。Web1.0的本质是聚合、联合、搜索，解决人们对信息搜索、聚合的要求。Web2.0这个阶段的互联网更加注重用户的参与和互动。用户不仅可以浏览网页内容，还可以创建自己的博客、社交媒体账户等，与其他用户进行交流和分享，用户既是信息的消费者，也是信息的生产者。Web3.0这个阶段的核心理念是数据的去中心化和用户的自主权。在Web3.0时代，用户的数据不再被单一的平台所控制，而是可以跨平台、跨应用进行共享和使用。同时，借助区块链等先进技术，用户可以对自己的数据进行加密和验证，确保数据的安全和隐私。实现网络信息共享实现网络信息共建实现知识的传承Web技术发展历程01互联网Web1.0Web2.0Web3.0演变静态互联网平台互联网价值互联网定位门户网站平台网站用户互联网中心1个中心：网站1个中心：平台N个中心：用户内容传输单项信息输出双向信息交互信息聚链与价值共享用户角色内容消费者内容生产者内容拥有者ID模式无数字身份基于平台账户的数字身份用户自主的数字身份数据/内容所有权机构公司或平台组织及个人，可移植Web1.0、Web2.0、Web3.0主要区别项目一Web安全基础Web安全与防护本任务要点学习目标Web应用的基本架构Web安全核心问题与传统安全的区别熟悉Web应用的基本架构。了解Web应用面临的安全风险。能够阐述Web存在安全隐患的原因。任务二Web安全的核心问题目录CONTENTS01/Web应用基本架构02/Web安全核心问题03/与传统安全的区别Web应用基本架构01Web应用基本架构01前台后台Web应用前台面向网站访问用户，是给访问网站的用户看的内容和页面。通过前台访问可以浏览公开发布的内容。基于带数据库开发的动态Web网站，可以分为前台应用和后台应用。后台，也称为网站管理后台，是用于管理网站前台的一系列操作。后台通常需要账号、口令等身份信息进行登录验证后，才能进行相关操作。Web应用基本架构01Web中间件提供Web服务的应用软件Web服务器部署安装了Web中间件的服务器Web应用基本架构01Web应用工作原理因特网服务器链接到URL的超链HTTP使用此TCP连接浏览器程序服务器程序HTTP客户建立TCP连接释放TCP连接

HTTP响应报文

响应文档

HTTP请求报文

请求文档三次握手四次分手Web应用基本架构01Web应用工作原理(4)浏览器确认对端可写，并将该数据包推入Internet，该包经过网络最终递交到对端服务程序。(5)服务端程序拿到该数据包后，同样以HTTP协议格式解包，然后解析客户端的意图。(6)得知客户端意图后，进行分类处理，或是提供某种文件、或是处理数据。(7)将结果装入缓冲区，或是HTML文件、或是一张图片等。(8)按照HTTP协议格式将(7)中的数据打包(9)服务器确认对端可写，并将该数据包推入Internet，该包经过网络最终递交到客户端。(10)浏览器拿到包后，以HTTP协议格式解包，然后解析数据，假设是HTML文件。(11)浏览器将HTML文件展示在页面(1)用户做出了一个操作，可以是填写网址敲回车，可以是点击链接，可以是点击按键等，接着浏览器获取了该事件。(2)浏览器与对端服务程序建立TCP连接。(3)浏览器将用户的事件按照HTTP协议格式**打包成一个数据包，其实质就是在待发送缓冲区中的一段有着HTTP协议格式的字节流。Web服务器的本质:接收数据⇒HTTP解析⇒逻辑处理⇒HTTP封包⇒发送数据Web应用基本架构01Web应用工作原理(1)当用户点击一个网页链接或浏览器加载一些资源(css,jpg…)时产生。(6)服务程序解包后，确定其为GET请求，并且是对该服务器上的某一资源的请求。首先服务程序会去确认该路径是否存在，再确定该路径的文件是否可以获取。(7-1)如果请求的路径有误，或者该资源不能被用户获取，则返回错误提示页面。(7-2)如果该路径合法且文件可以被获取，那么服务程序将根据该文件类型进行不同的装载过程，记录其类型作为(8)中HTTP协议中对应的返回类型，并加入响应头。Web服务器提供静态文件工作原理Web应用基本架构01Web应用工作原理(1)用户提交数据，假设用户点击一个按键提交填好的信息。在(3)中将以POST格式写入，并填入提交至服务端的可执行程序的路径。(6)服务端将参数与该CGI绑定，复制进程，用管道传递参数和接收结果(7)子进程执行CGI，接收(6)父进程传来的参数，运算完成返回结果。Web服务器处理数据提交工作原理Web安全核心问题02Web应用常见安全风险数据信息泄露蚂蚁金服数据泄露（2021年）人人网数据泄露（2020年）美团外卖数据泄露（2020年）网站篡改页面内容篡改恶意代码嵌入网络博彩、色情链接嵌入业务安全风险撞库、口令暴力破解恶意注册、抢单、抢座、投票DDOS拒绝服务攻击Web安全核心问题02Web应用环境数据库安全漏洞操作系统安全漏洞中间件安全漏洞从安全角度考虑，Web应用中的中间件、数据库、操作系统等均会影响Web系统的安全。因此，在Web系统中，无论有多少硬件设备、提供支持的组件有哪些，只要它们为Web提供支持，都要纳入防护体系。Web安全核心问题02HTTP协议作为Web应用的基础协议，其特点就是用户请求<——>服务器响应。在这个过程中，服务器一直处于被动响应状态，无法主动获取用户的信息。基于这种交换环境，在客户端可篡改任何请求参数，服务器必须对请求内容进行响应。Web存在安全隐患的核心问题：Web应用类型复杂，防护经验无法复用。Web应用包含的服务组件众多，任意一个组件出现问题都会影响整体的安全程度。由于HTTP协议的特性，用户端的所有行为均不可信。与传统安全的区别03对比项传统系统安全Web应用安全通用性建立在使用较广的通用软件基础上每一个应用相当于一个独立的软件开发者通常是具有较高专业技术的厂商和人员，对安全有一定的理解开发者水平参差不齐，对于安全的理解往往较为不足漏洞的检测建立在漏洞已知、确定的基础上基于业务特点，对可能的存在的漏洞进行检测漏洞的挖掘需要对计算机结构、操作系统原理、底层语言等有很深入的了解，难度大只需要掌握基础的网站架构、脚本语言、数据库知识，难度低漏洞的修复由专业的厂商提供修复方案应用开发人员自行修复攻击途径多数服务端口不开放在互联网上，攻击途径较少Web应用多数开放在互联网上，攻击途径较多攻击特征有数据级的攻击特征，攻击行为与正常业务行为的差异明显攻击特征不明显，业务逻辑类漏洞在数据层面无攻击特征防护难度对于已知漏洞的防护较为容易防护难度大Web应用安全与传统安全的区别课堂实践一、任务名称：熟悉HTTP请求和响应流程二、任务内容：使用浏览器访问任意合法网站，打开Burpsuit软件捕获访问数据包，找到用户请求数据报文和服务器响应数据报文，观察请求数据和响应数据特点。三、工具需求：浏览器、Burpsuit四、任务要求：完成实践练习后，由老师检查完成情况。课堂思考一、Web1.0、Web2.0、Web3.0主要区别有哪些？二、常见的Web中间件有哪些？三、什么是Web服务器？四、Web网站前台和后台的主要功能是什么？