25-系统安全05-Web安全01-Web技术发展

Web技术发展了解Web的发展背景熟悉Web的架构熟悉Web应用的发展历程熟悉新形势下的安全问题教学目标Web起源Web架构Web应用发展历程新的安全问题目录Web起源Web（WorldWideWeb），即全球广域网，也称WWW或万维网。Web是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统；是建立在Internet上的一种网络服务，为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面，其中的文档及超级链接将Internet上的信息节点组织成一个互为关联的网状结构。Web起源

WorldWideWeb最初设想：借助多文档之间相互关联形成超文本（HyperText），连成可互相参阅的万维网（WWW）。1989年，CERN（欧洲核子研究组织）由TimBerners-Lee领导的小组，提交了一个针对Internet的新协议和一个使用该协议的文档系统。该小组将这个新系统命名为WordWideWeb，它的目的在于使全球的科学家能够利用Internet交流自己的工作文档。这个新系统被设计为允许Internet上任意一个用户都可以从许多文档服务计算机的数据库中搜索和获取文档。Timberners-leeWeb起源

WorldWideWeb1989年3月12日，实现了超文本传输协议(HTTP)客户端和服务器之间通过互联网的第一次成功通信。1990年11月，这个新系统的基本框架已经在CERN中的一台计算机中开发出来并实现了，成功研发了世界第一台Web服务器和Web浏览器。1991年该系统移植到了其他计算机平台，并正式发布。HTML、HTTP、URI、浏览器、Web服务器，就此发明问世。Web起源

Web核心组成URI（统一资源标识符）：解决了文档的命名和寻址识别问题HTTP（超文本传输协议）：解决了浏览器与服务器应用层之间的交流问题HTML（超文本标记语言）：定义了超文本文档的表示浏览器用于发起请求，并且解析文档服务器用于保存文档Web架构操作系统：windows、linux存储：数据库存储、内存存储、文件存储Web容器：Tomcat、WeblogicWeb服务器：Apache、IIS、NginxWeb服务端语言：PHP、ASP、JavaWeb开发框架：ThinkPHP、Django、Struts2软件系统：CMS、BBS、BlogWeb前端框架：HTML5、jQuery、Bootstrap第三方内容：广告统计、mockupWeb架构Web架构操作系统概念操作系统（OperatingSystem，OS）是一种软件（计算机由硬件和软件组成），它是硬件基础上的第一层软件，是硬件和其它软件沟通的桥梁，为了方便使用，承上启下（类比于：接口、中间人、中介等）作用操作系统会控制其他程序运行，管理系统资源，提供最基本的计算功能，如管理及配置内存、决定系统资源供需的优先次序等，提供一些基本的服务程序举例Windows、Linux、MacOS等Web架构存储概念现代信息技术中用于保存信息的记忆设备用于存储的设备被称作为存储介质用于规定、管理存储的软件，称为存储管理系统作用按照一定的约定，有规律的存放数字信息举例内存、硬盘、U盘、数据库（sql、mysql、oracle）等Web架构Web服务器概念对外提供静态页面Web服务的软件系统作用处理HTTP协议接收、处理、发送静态页面处理并发、负载均衡举例Apache、IIS、Nginx等Web架构Web容器概念为了满足交互操作，获取动态结果，而提供的一些扩展机制能够让HTTP服务器调用服务端程序。作用处理动态页面请求（解释器），如asp、jsp、php、cgi举例Tomcat、weblogic、Jboss、Webshere等Web架构Web服务端语言概念用于提供Web页面的自定义功能，专业处理互联网通信，使用网页浏览器作为用户界面。作用可以动态地编辑、修改或添加网页内容。可以对用户从HTML提交的查询或数据进行响应，访问数据或数据库，并把结果返回到浏览器。也可以访问文件或XML数据，并把结果返回到浏览器，把XML转换为HTML，并把结果返回到浏览器。还可以为不同的用户定制页面，提高页面的可用性，对不同的网页提供安全的访问控制，为不同类型的浏览器设计不同的输出等。举例PHP、ASP、JAVA等Web架构Web开发框架概念类似于模板，用来支持动态网站、网络应用程序及网络服务的开发。作用提高Web开发效率，降低开发难度举例PHP的thinkphp、Java的Struts2、Spring等Web架构软件系统举例cms、bbs、blog、Wordpress等区别框架就是将一些常用操作封装起来，并给合一些设计模式，用来规范和简化程序员的开发流程；而cms等软件系统一般都属于一个完整的系统，有页面、有数据库，部署在站点上之后就能直接通过浏览器地址来访问，可以基于框架开发。Web架构访问流程访问URL：域名解析建立TCP连接发送HTTP请求服务器响应关闭TCP连接用户浏览器渲染页面Web应用发展历程Web应用发展历程早期静态页面无认证页面实际存在通过URL地址访问浏览器直接解析,无需服务器解释或者编译只能返回纯文本（静态的）文件信息是从服务端到客户端，单向传递，不支持动态交互修改复杂Web应用发展历程早期静态页面Web应用发展历程无法获取敏感信息早期web站点入侵歪曲网站内容传播非常内容暗链反动黑页Web应用发展历程动态页面随着Web的发展，产生了交互的需求，信息要在客户端和服务端之间双向流动，也就是动态网页的概念；所谓动态就是利用flash、php、asp、Java等技术在网页中嵌入一些可运行的脚本，用户浏览器在解释页面时，遇到脚本就启动运行它。动态脚本的使用让Web服务模式有了“双向交流”的能力，Web服务模式也可以像传统软件一样进行各种事务处理，如编辑文件、利息计算、提交表单等，Web架构的适用面大大扩展。这些动态脚本可以嵌入在页面中，如JS等。也可以以文件的形式单独存放在Web服务器的目录里，如.asp、.php、jsp文件等。这样功能性的脚本越来越多，形成常用的工具包，单独管理。Web业务开发时，直接使用就可以了，这就是中间件服务器，它实际上是Web服务器处理能力的扩展。Web应用发展历程动态页面网页数据具备动态交互功能后台具备数据处理能力强大数据库作支撑动态页面的优势减少网页的数量增加前后台交互能力拓展网站能力新的安全问题Web应用指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用，Web应用已经融入到日常生活中的各个方面：网上购物、网络银行应用、证券股票交易、政府行政审批等等。在这些Web访问中，大多数应用不是静态的网页浏览，而是涉及到服务器端的动态处理。此时，如果Java、PHP、ASP等程序语言的编程人员的安全