《网络空间安全导论》 课件 25-系统安全05-Web安全01-Web技术发展、02-Web安全概述

Web技术发展了解Web的发展背景熟悉Web的架构熟悉Web应用的发展历程熟悉新形势下的安全问题教学目标Web起源Web架构Web应用发展历程新的安全问题目录Web起源Web（WorldWideWeb），即全球广域网，也称WWW或万维网。Web是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统；是建立在Internet上的一种网络服务，为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面，其中的文档及超级链接将Internet上的信息节点组织成一个互为关联的网状结构。Web起源

WorldWideWeb最初设想：借助多文档之间相互关联形成超文本（HyperText），连成可互相参阅的万维网（WWW）。1989年，CERN（欧洲核子研究组织）由TimBerners-Lee领导的小组，提交了一个针对Internet的新协议和一个使用该协议的文档系统。该小组将这个新系统命名为WordWideWeb，它的目的在于使全球的科学家能够利用Internet交流自己的工作文档。这个新系统被设计为允许Internet上任意一个用户都可以从许多文档服务计算机的数据库中搜索和获取文档。Timberners-leeWeb起源

WorldWideWeb1989年3月12日，实现了超文本传输协议(HTTP)客户端和服务器之间通过互联网的第一次成功通信。1990年11月，这个新系统的基本框架已经在CERN中的一台计算机中开发出来并实现了，成功研发了世界第一台Web服务器和Web浏览器。1991年该系统移植到了其他计算机平台，并正式发布。HTML、HTTP、URI、浏览器、Web服务器，就此发明问世。Web起源

Web核心组成URI（统一资源标识符）：解决了文档的命名和寻址识别问题HTTP（超文本传输协议）：解决了浏览器与服务器应用层之间的交流问题HTML（超文本标记语言）：定义了超文本文档的表示浏览器用于发起请求，并且解析文档服务器用于保存文档Web架构操作系统：windows、linux存储：数据库存储、内存存储、文件存储Web容器：Tomcat、WeblogicWeb服务器：Apache、IIS、NginxWeb服务端语言：PHP、ASP、JavaWeb开发框架：ThinkPHP、Django、Struts2软件系统：CMS、BBS、BlogWeb前端框架：HTML5、jQuery、Bootstrap第三方内容：广告统计、mockupWeb架构Web架构操作系统概念操作系统（OperatingSystem，OS）是一种软件（计算机由硬件和软件组成），它是硬件基础上的第一层软件，是硬件和其它软件沟通的桥梁，为了方便使用，承上启下（类比于：接口、中间人、中介等）作用操作系统会控制其他程序运行，管理系统资源，提供最基本的计算功能，如管理及配置内存、决定系统资源供需的优先次序等，提供一些基本的服务程序举例Windows、Linux、MacOS等Web架构存储概念现代信息技术中用于保存信息的记忆设备用于存储的设备被称作为存储介质用于规定、管理存储的软件，称为存储管理系统作用按照一定的约定，有规律的存放数字信息举例内存、硬盘、U盘、数据库（sql、mysql、oracle）等Web架构Web服务器概念对外提供静态页面Web服务的软件系统作用处理HTTP协议接收、处理、发送静态页面处理并发、负载均衡举例Apache、IIS、Nginx等Web架构Web容器概念为了满足交互操作，获取动态结果，而提供的一些扩展机制能够让HTTP服务器调用服务端程序。作用处理动态页面请求（解释器），如asp、jsp、php、cgi举例Tomcat、weblogic、Jboss、Webshere等Web架构Web服务端语言概念用于提供Web页面的自定义功能，专业处理互联网通信，使用网页浏览器作为用户界面。作用可以动态地编辑、修改或添加网页内容。可以对用户从HTML提交的查询或数据进行响应，访问数据或数据库，并把结果返回到浏览器。也可以访问文件或XML数据，并把结果返回到浏览器，把XML转换为HTML，并把结果返回到浏览器。还可以为不同的用户定制页面，提高页面的可用性，对不同的网页提供安全的访问控制，为不同类型的浏览器设计不同的输出等。举例PHP、ASP、JAVA等Web架构Web开发框架概念类似于模板，用来支持动态网站、网络应用程序及网络服务的开发。作用提高Web开发效率，降低开发难度举例PHP的thinkphp、Java的Struts2、Spring等Web架构软件系统举例cms、bbs、blog、Wordpress等区别框架就是将一些常用操作封装起来，并给合一些设计模式，用来规范和简化程序员的开发流程；而cms等软件系统一般都属于一个完整的系统，有页面、有数据库，部署在站点上之后就能直接通过浏览器地址来访问，可以基于框架开发。Web架构访问流程访问URL：域名解析建立TCP连接发送HTTP请求服务器响应关闭TCP连接用户浏览器渲染页面Web应用发展历程Web应用发展历程早期静态页面无认证页面实际存在通过URL地址访问浏览器直接解析,无需服务器解释或者编译只能返回纯文本（静态的）文件信息是从服务端到客户端，单向传递，不支持动态交互修改复杂Web应用发展历程早期静态页面Web应用发展历程无法获取敏感信息早期web站点入侵歪曲网站内容传播非常内容暗链反动黑页Web应用发展历程动态页面随着Web的发展，产生了交互的需求，信息要在客户端和服务端之间双向流动，也就是动态网页的概念；所谓动态就是利用flash、php、asp、Java等技术在网页中嵌入一些可运行的脚本，用户浏览器在解释页面时，遇到脚本就启动运行它。动态脚本的使用让Web服务模式有了“双向交流”的能力，Web服务模式也可以像传统软件一样进行各种事务处理，如编辑文件、利息计算、提交表单等，Web架构的适用面大大扩展。这些动态脚本可以嵌入在页面中，如JS等。也可以以文件的形式单独存放在Web服务器的目录里，如.asp、.php、jsp文件等。这样功能性的脚本越来越多，形成常用的工具包，单独管理。Web业务开发时，直接使用就可以了，这就是中间件服务器，它实际上是Web服务器处理能力的扩展。Web应用发展历程动态页面网页数据具备动态交互功能后台具备数据处理能力强大数据库作支撑动态页面的优势减少网页的数量增加前后台交互能力拓展网站能力新的安全问题Web应用指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用，Web应用已经融入到日常生活中的各个方面：网上购物、网络银行应用、证券股票交易、政府行政审批等等。在这些Web访问中，大多数应用不是静态的网页浏览，而是涉及到服务器端的动态处理。此时，如果Java、PHP、ASP等程序语言的编程人员的安全意识不足，对程序参数输入等检查不严格等，就会导致Web应用安全问题层出不穷。新的安全问题SQL注入：针对数据库XSS：窃取管理员账户或Cookie，冒充管理员身份登录后台具有操作后台数据的能力，包括读取、更改、添加、删除一些信息文件上传：上传恶意文件…Web起源Web架构Web应用发展历程新的安全问题总结Web安全概述了解中国黑客的发展了解Web安全的发展熟练分析Web事件教学目标中国黑客的发展Web安全发展Web安全事件分析目录中国黑客的发展随着Web2.0、社交网络、微博等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注。接踵而至的就是Web安全威胁的凸显，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。互联网刚刚开始是安全的，但是伴随着黑客（Hacker）的诞生，互联网变得越来越不安全。中国黑客的发展黑客一词来源于“Hacker”，通常指对于计算机系统有深入的理解，能够发现其中的问题。“Hacker”在中国按照音译，被称为“黑客”。在计算机安全领域，黑客是一群破坏规则、不喜欢被约束的人，因此总想着能够找到系统的漏洞，以获得一些规则之外的权力。“黑客”这个词并非源于计算机，而是源于1961年（60年代）麻省理工学院（MIT）的技术模型铁路俱乐部，当时俱乐部成员们为修改功能而黑了他们的高科技列车组。从玩具列车推进到了计算机领域，这些MIT学生以及其他早期黑客，仅仅对探索、改进和测试现有程序的极限感兴趣。某些情况下，这些黑客甚至产生了比先前程序好的多的程序，比如丹尼斯·里奇和基斯·汤普森的UNIX操作系统。中国黑客的发展计算机黑客持续繁荣演进到70年代，催生了新一类的黑客：玩弄电话系统的黑客，也称“飞客”。比如约翰·德拉浦，利用的是电话交换网络的操作特性，可以愚弄电话交换网络，免费享用长途通话。如今的电话交换网络已经完全电子化了。80年代时黑客历史的分水岭，因为此时完备的个人计算机被引入了公众视野。个人电脑的广泛普及，引爆了黑客的快速增长。虽然仍有大量黑客专注于改进操作系统，但更关注个人所得的新一类黑客也渐渐浮出水面，他们将自己的技术用于犯罪活动，包括盗版软件、创建病毒和侵入系统盗取敏感信息等。中国黑客的发展在黑客的世界里，有的黑客精通计算机技术，能自己挖掘漏洞，并编写exploit；有的黑客只对攻击本身感兴趣，对计算机原理和各种编程技术的了解比较粗浅，只懂得利用别人的代码，自己并没有动手能力，这种黑客被称为“ScriptKids”，即脚本小子。在现实世界里，真正造成破坏的，往往并非那些挖掘并研究漏洞的“黑客”们，而是脚本小子。在目前已经形成产业的计算机犯罪、网络犯罪中，造成主要破坏的，也是这些脚本小子。中国黑客的发展中国黑客发展史一共经历了三个时代：启蒙时代黄金时代黑暗时代中国黑客的发展启蒙时代20世纪90年代，此时中国得互联网刚刚起步，是中国互联网开始发展的萌芽时期，一些热爱新兴技术的青年受到国外黑客技术的影响，开始研究安全漏洞，大多都是个人爱好。这个时期，各地电脑发烧友最大的乐趣就是复制一些小游戏和DOS等软件产品，这一类被称为“窃客”。随着中国大中城市互联网的信息港已经初具规模，在这样的环境条件下，产生了众多的黑客，他们掌握的技术主要是邮箱炸弹，后来诞生了特洛伊木马，也就是网络间谍NetSpy，随后少量的国产工具开始小范围流行于中国黑客之间。这些黑客起初都是对计算机领域的爱好、好奇心和强烈的求知欲，他们崇尚自由、喜欢分享，经验和资源都是免费提供，技术在他们看上去是最有价值的。中国黑客的发展黄金时代以2001年4月4日开始的“中美黑客大战”作为标志，在这个背景下，黑客这个特殊的群体一下子几乎引起了社会的所有眼球。此次黑客大战主要在各自的互联网上植入一些出气的文章和页面。中美黑客大战真实还原场景中国黑客的发展黄金时代以上是一些真实的场景，比如美国的某个网名，打开他们的电商网站，就会弹出类似窗口。此时黑客圈子所宣扬的文化以及黑客技术的独特魅力，吸引了无数青少年走上这条道路。此后，各种黑客组织雨后春笋般的冒出。此阶段的中国黑客，由于新人较多，虽然有活力和激情，但是技术上还不够成熟。所谓林子大了，什么鸟都有，此时期在黑客圈子里贩卖漏洞，恶意软件的现象就开始升温，群体良莠不齐，也就开始出现了以营利为目的的攻击行为，黑色产业链逐渐成型。中国黑客的发展黑暗时代在这个时期，黑客也循着社会的发展规律，优胜劣汰，大多是黑客组织并没有坚持下来。在上个时期的黑客技术论坛越来越缺少人气，最终走向没落。所有门户型的漏洞披露站点，也不再公布任何漏洞相关的技术细节。随着安全行业发展，黑客的功利性越来越强。黑色产业链开始成熟。这个地下产业每年会给互联网造成数十亿甚至百亿的损失。在上一个时期技术还不成熟的黑客们，凡是坚持下来的，都已经成长为安全领域的高级人才，有的在安全公司贡献着自己的专业技能，有的则带着非常强的技术进入了黑色产业。此时期的黑客群体，因为互相之间不再具有开发和分享的精神，最为纯粹的黑客精神实质上已经死亡。中国黑客的发展黑暗时代如今的黑客队伍，会分为三种颜色的帽子。黑帽子：利用黑客技术造成破坏，转为黑色产业，提供资源，贩卖漏洞，给商业带来损失，甚至进行网络犯罪；灰帽子：白天良好公民，正常上班，半夜干坏事；白帽子：从事网络安全行业，针对攻击手段制作防护工具和解决方案，工作在反黑客领域。Web安全发展在早期互联网中，Web并非互联网的主流应用。一方面是因为Web技术还没发展起来，不够成熟；另一方面通过系统软件漏洞往往能获得很高的权限。相对来说，基于SMTP、POP3、FTP、IRC等协议的服务拥有着绝大多数的用户，因此主要的攻击目标是网络、操作系统以及软件等领域，Web安全领域的攻击与防御技术处于非常原始的阶段。相对于那些攻击系统软件的exploit而言，基于Web的攻击，一般只能让黑客获得一个较低权限的账户，对黑客的吸引力远远不如直接攻击系统软件。但是时代在发展，防火墙技术的兴起改变了互联网安全的格局。尤其是以思科、华为、深信服等代表的网络设备厂商，开始在网络产品中更加重视网络安全，最终改变了互联网安全的走向。防火墙、ACL技术的兴起，使得直接暴露在互联网上的系统得到了保护。Web安全发展2003年的冲击波蠕虫是一个里程碑式的事件，该漏洞针对Windows操作系统RPC服务（运行在445端口）的蠕虫，处理通过TCP/IP的消息交换的部分，攻击者通过TCP135端口，向远程计算机发送特殊形式的请求，允许攻击者在目标机器上获得完全的权限并以执行任意代码。在很短的时间内席卷了全球，造成了数百万机器被感染，损失难以估量。在此次事件后，网络运营商很坚决地在骨干网络上屏蔽了135、445等端口的连接请求。此次事件之后，整个互联网对于安全的重视达到了一个空前的高度。运营商、防火墙对于网络的封锁，使得暴露在互联网上的非Web服务越来越少，且Web技术的成熟使得Web应用的功能越来越强大，最终成为了互联网的主流。黑客们的目光，也渐渐转移到了Web上。Web安全发展Web攻击技术的发展也可以分为几个阶段。在Web1.0时代，人们更多的是关注服务器端动态脚本的安全问题，比如将一个可执行脚本（俗称WebShell）上传到服务器上，从而获得权限。动态脚本语言的普及，以及Web技术的发展初期，对安全问题认知的不足导致很多“血案”的发展，同时也遗留下很多历史问题。比如PHP语言至今仍然只能靠较好的代码规范来保证没有文件包含漏洞，而无法从语言本身杜绝此类安全问题的发生。Web安全发展SQL注入的出现是Web安全史上的一个里程碑，它最早出现大概是1999年，并很快就成为Web安全的头号大敌。就如同缓冲区溢出出现时一样，程序员们不得不日以继夜地去修改程序中存在的漏洞。黑客们发现通过SQL注入攻击，可以获取很多重要的、敏感的数据，甚至能够通过数据库获取系统访问权限，这种效果不比直接攻击系统软件差，Web攻击瞬间流行起来。SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。XSS（跨站脚本攻击）的出现则是Web安全史上的另一个里程碑。实际上，XSS的出现时间和SQL注入差不多，但是真正引起人们重视则是在大概2003年以后，在经历了MySPace的XSS蠕虫事件后（它在20小时内感染了100万个账户），安全界对XSS的重视程度提高了很多，OWASPTop10（2007）甚至把XSS放在榜首。Web安全发展伴随着Web2.0的兴起，XSS、CSRF等攻击已经变的更为强大。Web攻击的思路也从服务端转向客户端，转向了浏览器和用户。黑客们天马行空的思路，覆盖了Web的每一个环节，变得更加的多样化，这些安全问题在后面课程中会深入的探讨。Web技术发展到今天，构建了丰富多彩的互联网。互联网业务的蓬勃发展，也催生了许多新兴的脚本语言，比如Python、Ruby、NodeJS等敏捷开发成为互联网的主旋律。而手机技术、移动互联网的兴起，也给HTML5带来了新的机遇和挑战。同时，Web安全技术，也将紧跟着互联网发展的脚步，不断地演化出新的变化。Web安全事件分析新浪微博攻击事件2011年6月28日晚新浪微博遭受攻击，新浪微博突然出现大范围“中毒”，大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信，并自动关注一位名为hellosamy的用户。20:14，开始有大量带V的认证用户中招转发蠕虫20:30，2中的病毒页面无法访问20:32，新浪微博中hellosamy用户无法访问21:02，新浪漏洞修补完毕影响：该攻击持续16分钟，感染用户达到33000人左右。Web安全事件分析新浪微博攻击事件Web安全事件分析新浪微博攻击事件首先，黑客通过对新浪微博的分析测试，发现新浪名人堂部分由于代码过滤不严，导致XSS漏洞的存在，并可以通过构造脚本的方式植入恶意代码。通过分析发现，在新浪名人堂部分中，当提交/pub/star/g/xyyyd">?type=update时，新浪会对该字符串进行处理，变成类似/pub/star.php?g=xyyyd">?type=update，而由于应用程序没有对参数g做充足的过滤，且将参数值直接显示在页面中，相当于

在页面中嵌入了一个来自于2的