信息安全技術(shù)與應(yīng)用（高學(xué)勤）課件 2.1 Web安全概述

第2節(jié)Web安全概述第2章目

錄Web應(yīng)用基礎(chǔ)Web安全的發(fā)展0102OWASPTOP10簡介0301Web應(yīng)用基礎(chǔ)Web應(yīng)用概述Web是目前使用最廣泛的網(wǎng)絡(luò)和應(yīng)用技術(shù)。CNCERT/CC網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)對流量數(shù)據(jù)進(jìn)行的抽樣統(tǒng)計顯示，Web應(yīng)用流量占整個TCP流量的81.1%Web流量居統(tǒng)治地位：新聞資訊、電子商務(wù)、網(wǎng)上銀行、證劵、手機(jī)上網(wǎng)、電子政務(wù)。注：關(guān)于Web應(yīng)用基礎(chǔ)的內(nèi)容介紹，請參閱第二章/Web應(yīng)用基礎(chǔ).mp4Web應(yīng)用概述Web服務(wù)器也稱為WWW（WorldWideWeb,萬維網(wǎng)）服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)。Web用于解析HTTP/HTTPS協(xié)議。當(dāng)Web服務(wù)器接收到一個http請求(request)，會返回一個http響應(yīng)(response)，如：返回一個html頁面，但一般而言，Web服務(wù)器不用于處理業(yè)務(wù)邏輯。什么是WebWeb應(yīng)用概述Web瀏覽器訪問Web服務(wù)器資源：Web的工作機(jī)制Web服務(wù)器客戶機(jī)Web服務(wù)器存放著各類Web資源（文件、圖片等）HTTP找到了，給你我需要xx文件（通過URL指定位置）Web應(yīng)用概述Web典型四層架構(gòu)訪問表示層呈現(xiàn)HTML加載、編譯并執(zhí)行index.php邏輯層發(fā)送HTMLWeb瀏覽器/呈現(xiàn)引擎與數(shù)據(jù)存儲交互，利用應(yīng)用程序和業(yè)務(wù)邏輯應(yīng)用層為Web服務(wù)器提供數(shù)據(jù)執(zhí)行SQL存儲層返回數(shù)據(jù)編程語言：C#、ASP、.NET、PHP、JSP等CFC、EJB、SQAP、RMWeb服務(wù)等數(shù)據(jù)庫：MSSQL、MySQL、Oracle等腳本引擎RDBMSWeb應(yīng)用概述Web三大支撐技術(shù)01.統(tǒng)一資源定位（URL）URL是對互聯(lián)網(wǎng)上的信息資源進(jìn)行命名和定位的一種標(biāo)準(zhǔn)機(jī)制，用于說明如何訪問Web資源，包括服務(wù)器名稱、路徑、文件名等。URL格式例如：/main.htm<協(xié)議>：//<主機(jī)名：端口>/<文件路徑>Web應(yīng)用概述02.超文本標(biāo)記語言（HTML）HTML是一種能夠為所有計算機(jī)所理解的信息資源描述語言，HTML文檔經(jīng)瀏覽器解釋后，就展現(xiàn)為豐富多彩的Web頁面。03.超文本傳輸協(xié)議（HTTP）HTTP是一種詳細(xì)規(guī)定了瀏覽器和萬維網(wǎng)服務(wù)器之間互相通信的規(guī)則，通過因特網(wǎng)傳送萬維網(wǎng)文檔的數(shù)據(jù)傳送協(xié)議。HTTP是一個應(yīng)用層協(xié)議，由請求和響應(yīng)構(gòu)成，是一個標(biāo)準(zhǔn)的客戶端服務(wù)器模型。HTTP協(xié)議分析HTTP協(xié)議概述HTTP（HypertextTransferProtocol）的中文全稱為：超文本傳輸協(xié)議，是一種分布式、合作式的多媒體信息系統(tǒng)服務(wù)。HTTP是面向應(yīng)用層的協(xié)議、基于傳輸層的TCP協(xié)議進(jìn)行通信。HTTP協(xié)議是通用的、無狀態(tài)的協(xié)議。用于在服務(wù)器和客戶機(jī)之間傳輸超文本文件。Web服務(wù)器客戶機(jī)向服務(wù)器發(fā)出Web請求1Internet功能2尋找頁面將文檔傳送給Web瀏覽器3HTTP協(xié)議分析HTTP協(xié)議的組成請求行：方法，URI，協(xié)議/版本（Method-URI-Protocol/Version）請求頭部（Requestheaders)請求實體（Entitybody）相應(yīng)行：協(xié)議，狀態(tài)碼，代碼描述（Protocol-Statuscode-Description）響應(yīng)頭部（Responseheaders）響應(yīng)實體（Entitybody）HTTP請求（Requests）HTTP響應(yīng)（Responses）HTTP協(xié)議分析HTTP請求報文HTTP請求結(jié)構(gòu)請求方法空格URL空格協(xié)議版本回車符換行符頭部字段名：值回車符換行符回車符換行符...請求實體請求頭部請求行頭部字段名：值回車符換行符請求行請求頭部請求數(shù)據(jù)HTTP協(xié)議分析HTTP響應(yīng)報文HTTP響應(yīng)結(jié)構(gòu)協(xié)議版本空格狀態(tài)碼空格狀態(tài)碼描述回車符換行符頭部字段名：值回車符換行符回車符換行符...響應(yīng)實體響應(yīng)頭部請求行頭部字段名：值回車符換行符第一行請求行：說明協(xié)議是使用的HTTP1.1，響應(yīng)請求已成功(200表示成功)，一切已OK響應(yīng)的實體是HTML那一部分的內(nèi)容。頭部和實體也都是被CRLF序列分離開的響應(yīng)頭部和請求頭部相似，也包含一些有用的信息。HTTP協(xié)議分析常見的HTTP請求方法請求方法含義GET請求獲取由Request-URI所表示的資源POST在Request-URI所標(biāo)識的資源后附加新的數(shù)據(jù)HEAD請求獲取由Request-URI所標(biāo)識的資源的響應(yīng)消息報頭PUT請求服務(wù)器存儲一個資源，并用Request-URI作為其標(biāo)識DELETE請求服務(wù)器刪除由Request-URI所標(biāo)識的資源TRACE請求服務(wù)器回送收到的請求信息，主要用于測試或診斷OPTIONS查看服務(wù)器對某個特定URL都支持哪些請求方法CONNECT用于某些代理服務(wù)器，能把請求的連接轉(zhuǎn)化為一個安全隧道HTTP協(xié)議分析HTTP響應(yīng)狀態(tài)碼狀態(tài)碼定義說明1XX信息接收到請求，繼續(xù)處理2XX成功操作成功地收到，理解和接受3XX重定向為了完成請求，必須采取進(jìn)一步措施4XX客戶端錯誤請求的語法有錯誤或不能完成被滿足5XX服務(wù)端錯誤服務(wù)器無法完成明顯有效的請求HTTPS協(xié)議概念HTTPS（HypertextTransferProtocoloverSecureSocketLayer），是以安全為目標(biāo)的HTTP通道，在HTTP下加入SSL層的協(xié)議。HTTPS和HTTP的區(qū)別HTTPS協(xié)議需要到CA申請證書。HTTP是明文傳輸，HTTPS則是具有安全性的SSL加密傳輸協(xié)議。HTTP和HTTPS使用的端口也不一樣，前者是80，后者是443。HTTP的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比HTTP協(xié)議安全。HTTP協(xié)議分析常見的服務(wù)器中間件中間件概念中間件（Middleware）是提供系統(tǒng)軟件和應(yīng)用軟件之間連接的軟件。中間件是一種獨立的系統(tǒng)軟件或服務(wù)程序，分布式應(yīng)用軟件借助這種軟件在不同的技術(shù)之間共享資源。中間件是一類軟件的總稱，不是單獨的一個軟件。中間件可以叫做中間件服務(wù)器，也可以叫做應(yīng)用服務(wù)器。常見中間件IIS、Apache、Nginx、Tomcat常見的服務(wù)器中間件IIS簡介IIS（InternetInformationServices）即互聯(lián)網(wǎng)信息服務(wù)，是由微軟公司提供的基于運行MicrosoftWindows的互聯(lián)網(wǎng)基本服務(wù)。利用IIS，可以發(fā)布網(wǎng)頁，并且支持ASP（ActiveServerPages）、JAVA、VBscript等腳本格式，同時支持一些擴(kuò)展功能。IIS控制臺界面常見的服務(wù)器中間件Apache簡介Apache是目前世界上使用人數(shù)最多的服務(wù)器中間件。Apache可以運行在幾乎所有廣泛使用的計算機(jī)平臺上，由于其跨平臺和安全性被廣泛使用。Apache首頁常見的服務(wù)器中間件Nginx簡介Nginx是一款輕量級的Web服務(wù)器/反向代理服務(wù)器一個高性能的HTTP和反向代理的Web應(yīng)用服務(wù)器。Nginx首頁Nginx的優(yōu)勢在于免費開源、高性能、穩(wěn)定性強(qiáng)。國內(nèi)多數(shù)大型企業(yè)均有應(yīng)用Nginx，如：百度、新浪、網(wǎng)易、騰訊、淘寶等。常見的服務(wù)器中間件Tomcat簡介Tomcat是一個免費、開源的Web應(yīng)用服務(wù)器。Tomcat屬于輕量級應(yīng)用服務(wù)器，在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場合下被普遍使用，是開發(fā)和調(diào)試JSP程序的首選。Tomcat首頁02Web攻擊手段的變化Web攻擊的變化趨勢Web攻擊的發(fā)展特點早期

炫耀Web攻擊技術(shù)現(xiàn)在

政治、經(jīng)濟(jì)等利益驅(qū)使，竊取Web應(yīng)用數(shù)據(jù)Web攻擊的發(fā)展趨勢趨勢一

Web應(yīng)用數(shù)據(jù)泄露越來越嚴(yán)重超過半數(shù)的網(wǎng)站W(wǎng)eb應(yīng)用數(shù)據(jù)遭受泄露、造成重大財務(wù)損失；趨勢二“云”上業(yè)務(wù)威脅越來越多企業(yè)的業(yè)務(wù)上“云”，讓黑客有了更多的攻擊目標(biāo)；趨勢三

針對API接口的攻擊越來越普遍大數(shù)據(jù)時代下，普遍應(yīng)用的API接口被忽視安全使用規(guī)范，造成攻擊威脅。SQL注入

XSS跨站腳本

CSRF跨站請求偽造文件上傳文件包含命令執(zhí)行邏輯漏洞

XML外部實體注入目錄遍歷會話固定點擊劫持

CC攻擊常見Web應(yīng)用攻擊手段常見Web應(yīng)用攻擊手段新型Web應(yīng)用攻擊攻擊手段一供應(yīng)鏈攻擊供應(yīng)鏈攻擊是一種以軟件開發(fā)人員和供應(yīng)商為目標(biāo)的一種威脅,攻擊者通過感染合法應(yīng)用來分發(fā)惡意軟件來訪問源代碼、構(gòu)建過程或更新機(jī)制從而達(dá)到對開發(fā)人員和供應(yīng)商進(jìn)行攻擊的目的。攻擊事件2020年12月，SolarWinds旗下軟件被用于供應(yīng)鏈攻擊。2021年03月，國際航空電信公司(SITA)受到供應(yīng)鏈攻擊。攻擊手段二第三方組件攻擊Web應(yīng)用有將近80%的代碼來自于第三方組件、依賴的類庫，攻擊者通過第三方組件的安全漏洞，可快速攻陷服務(wù)器。03OWASPTOP10簡介什么是OWASPTOP10？OWASP開放式Web應(yīng)用程序安全項目（OpenWebApplicationSecurityProject）OWASP是一個組織，它提供有關(guān)計算機(jī)和互聯(lián)網(wǎng)應(yīng)用程序的公正、實際、有成本效益的信息。其目的是協(xié)助個人、企業(yè)和機(jī)構(gòu)來發(fā)現(xiàn)和使用可信賴軟件。什么是OWASPTOP10OWASP每隔數(shù)年會更新10個最關(guān)鍵的Web應(yīng)用安全問題清單，即OWASPTOP10。OWASPTOP10不是官方文檔或標(biāo)準(zhǔn)，而是一個被廣泛采用的意識文檔，被用來分類網(wǎng)絡(luò)安全漏洞的嚴(yán)重程度，目前被許多漏洞獎勵平臺和企業(yè)安全團(tuán)隊評估錯誤報告。這個列表總結(jié)了Web應(yīng)用程序最可能、最常見、最危險的十大漏洞，可以幫助IT公司和開發(fā)團(tuán)隊規(guī)范應(yīng)用程序開發(fā)流程和測試流程，提高Web產(chǎn)品的安全性。什么是OWASPTOP10？OWASP在業(yè)界的影響力推動了數(shù)以百萬的IT從業(yè)人員對應(yīng)用安全的關(guān)注以及理解，并為各類企業(yè)的應(yīng)用安全提供了明確的指引。12345OWASP被視為Web應(yīng)用安全領(lǐng)域的權(quán)威參考。國際信用卡數(shù)據(jù)安全技術(shù)PCI標(biāo)準(zhǔn)更將其列為必要組件。為歐洲網(wǎng)絡(luò)與信息安全局（ENISA),云計算風(fēng)險評估提供參考。為美國國家安全局/中央安全局，可管理的網(wǎng)絡(luò)計劃提供參考。成為IBMAPPSCAN、HPWEBINSPECT等掃描器漏洞參考的主要標(biāo)準(zhǔn)。OWASPTOP10主要內(nèi)容2013年、2017年的OWASPTOP