Web安全與防護 （微課版） 課件 項目一 Web安全基礎(chǔ)：任務(wù)一二Web安全核心問題、任務(wù)三HTTP協(xié)議及安全性、任務(wù)四Web應(yīng)用中的編碼

項目一Web安全基礎(chǔ)Web安全與防護本任務(wù)要點學(xué)習(xí)目標(biāo)Web技術(shù)發(fā)展階段了解Web技術(shù)發(fā)展各階段的典型應(yīng)用。能闡述Web技術(shù)發(fā)展各階段的區(qū)別和聯(lián)系。任務(wù)一Web技術(shù)發(fā)展歷程目錄CONTENTS01/Web技術(shù)發(fā)展歷程Web技術(shù)發(fā)展歷程01TimBerners-Lee于1989年在歐洲核子研究組織（CERN）正式提出萬維網(wǎng)的設(shè)想。Web技術(shù)的發(fā)展變遷經(jīng)歷了Web1.0，2.0，3.0三個時代。Web技術(shù)發(fā)展歷程01Web1.0初代的互聯(lián)網(wǎng)，它的主要特點是靜態(tài)的網(wǎng)頁內(nèi)容。Web1.0的本質(zhì)是聚合、聯(lián)合、搜索，解決人們對信息搜索、聚合的要求。Web2.0這個階段的互聯(lián)網(wǎng)更加注重用戶的參與和互動。用戶不僅可以瀏覽網(wǎng)頁內(nèi)容，還可以創(chuàng)建自己的博客、社交媒體賬戶等，與其他用戶進行交流和分享，用戶既是信息的消費者，也是信息的生產(chǎn)者。Web3.0這個階段的核心理念是數(shù)據(jù)的去中心化和用戶的自主權(quán)。在Web3.0時代，用戶的數(shù)據(jù)不再被單一的平臺所控制，而是可以跨平臺、跨應(yīng)用進行共享和使用。同時，借助區(qū)塊鏈等先進技術(shù)，用戶可以對自己的數(shù)據(jù)進行加密和驗證，確保數(shù)據(jù)的安全和隱私。實現(xiàn)網(wǎng)絡(luò)信息共享實現(xiàn)網(wǎng)絡(luò)信息共建實現(xiàn)知識的傳承Web技術(shù)發(fā)展歷程01互聯(lián)網(wǎng)Web1.0Web2.0Web3.0演變靜態(tài)互聯(lián)網(wǎng)平臺互聯(lián)網(wǎng)價值互聯(lián)網(wǎng)定位門戶網(wǎng)站平臺網(wǎng)站用戶互聯(lián)網(wǎng)中心1個中心：網(wǎng)站1個中心：平臺N個中心：用戶內(nèi)容傳輸單項信息輸出雙向信息交互信息聚鏈與價值共享用戶角色內(nèi)容消費者內(nèi)容生產(chǎn)者內(nèi)容擁有者ID模式無數(shù)字身份基于平臺賬戶的數(shù)字身份用戶自主的數(shù)字身份數(shù)據(jù)/內(nèi)容所有權(quán)機構(gòu)公司或平臺組織及個人，可移植Web1.0、Web2.0、Web3.0主要區(qū)別項目一Web安全基礎(chǔ)Web安全與防護本任務(wù)要點學(xué)習(xí)目標(biāo)Web應(yīng)用的基本架構(gòu)Web安全核心問題與傳統(tǒng)安全的區(qū)別熟悉Web應(yīng)用的基本架構(gòu)。了解Web應(yīng)用面臨的安全風(fēng)險。能夠闡述Web存在安全隱患的原因。任務(wù)二Web安全的核心問題目錄CONTENTS01/Web應(yīng)用基本架構(gòu)02/Web安全核心問題03/與傳統(tǒng)安全的區(qū)別Web應(yīng)用基本架構(gòu)01Web應(yīng)用基本架構(gòu)01前臺后臺Web應(yīng)用前臺面向網(wǎng)站訪問用戶，是給訪問網(wǎng)站的用戶看的內(nèi)容和頁面。通過前臺訪問可以瀏覽公開發(fā)布的內(nèi)容?；趲?shù)據(jù)庫開發(fā)的動態(tài)Web網(wǎng)站，可以分為前臺應(yīng)用和后臺應(yīng)用。后臺，也稱為網(wǎng)站管理后臺，是用于管理網(wǎng)站前臺的一系列操作。后臺通常需要賬號、口令等身份信息進行登錄驗證后，才能進行相關(guān)操作。Web應(yīng)用基本架構(gòu)01Web中間件提供Web服務(wù)的應(yīng)用軟件Web服務(wù)器部署安裝了Web中間件的服務(wù)器Web應(yīng)用基本架構(gòu)01Web應(yīng)用工作原理因特網(wǎng)服務(wù)器鏈接到URL的超鏈HTTP使用此TCP連接瀏覽器程序服務(wù)器程序HTTP客戶建立TCP連接釋放TCP連接

HTTP響應(yīng)報文

響應(yīng)文檔

HTTP請求報文

請求文檔三次握手四次分手Web應(yīng)用基本架構(gòu)01Web應(yīng)用工作原理(4)瀏覽器確認對端可寫，并將該數(shù)據(jù)包推入Internet，該包經(jīng)過網(wǎng)絡(luò)最終遞交到對端服務(wù)程序。(5)服務(wù)端程序拿到該數(shù)據(jù)包后，同樣以HTTP協(xié)議格式解包，然后解析客戶端的意圖。(6)得知客戶端意圖后，進行分類處理，或是提供某種文件、或是處理數(shù)據(jù)。(7)將結(jié)果裝入緩沖區(qū)，或是HTML文件、或是一張圖片等。(8)按照HTTP協(xié)議格式將(7)中的數(shù)據(jù)打包(9)服務(wù)器確認對端可寫，并將該數(shù)據(jù)包推入Internet，該包經(jīng)過網(wǎng)絡(luò)最終遞交到客戶端。(10)瀏覽器拿到包后，以HTTP協(xié)議格式解包，然后解析數(shù)據(jù)，假設(shè)是HTML文件。(11)瀏覽器將HTML文件展示在頁面(1)用戶做出了一個操作，可以是填寫網(wǎng)址敲回車，可以是點擊鏈接，可以是點擊按鍵等，接著瀏覽器獲取了該事件。(2)瀏覽器與對端服務(wù)程序建立TCP連接。(3)瀏覽器將用戶的事件按照HTTP協(xié)議格式**打包成一個數(shù)據(jù)包，其實質(zhì)就是在待發(fā)送緩沖區(qū)中的一段有著HTTP協(xié)議格式的字節(jié)流。Web服務(wù)器的本質(zhì):接收數(shù)據(jù)?HTTP解析?邏輯處理?HTTP封包?發(fā)送數(shù)據(jù)Web應(yīng)用基本架構(gòu)01Web應(yīng)用工作原理(1)當(dāng)用戶點擊一個網(wǎng)頁鏈接或瀏覽器加載一些資源(css,jpg…)時產(chǎn)生。(6)服務(wù)程序解包后，確定其為GET請求，并且是對該服務(wù)器上的某一資源的請求。首先服務(wù)程序會去確認該路徑是否存在，再確定該路徑的文件是否可以獲取。(7-1)如果請求的路徑有誤，或者該資源不能被用戶獲取，則返回錯誤提示頁面。(7-2)如果該路徑合法且文件可以被獲取，那么服務(wù)程序?qū)⒏鶕?jù)該文件類型進行不同的裝載過程，記錄其類型作為(8)中HTTP協(xié)議中對應(yīng)的返回類型，并加入響應(yīng)頭。Web服務(wù)器提供靜態(tài)文件工作原理Web應(yīng)用基本架構(gòu)01Web應(yīng)用工作原理(1)用戶提交數(shù)據(jù)，假設(shè)用戶點擊一個按鍵提交填好的信息。在(3)中將以POST格式寫入，并填入提交至服務(wù)端的可執(zhí)行程序的路徑。(6)服務(wù)端將參數(shù)與該CGI綁定，復(fù)制進程，用管道傳遞參數(shù)和接收結(jié)果(7)子進程執(zhí)行CGI，接收(6)父進程傳來的參數(shù)，運算完成返回結(jié)果。Web服務(wù)器處理數(shù)據(jù)提交工作原理Web安全核心問題02Web應(yīng)用常見安全風(fēng)險數(shù)據(jù)信息泄露螞蟻金服數(shù)據(jù)泄露（2021年）人人網(wǎng)數(shù)據(jù)泄露（2020年）美團外賣數(shù)據(jù)泄露（2020年）網(wǎng)站篡改頁面內(nèi)容篡改惡意代碼嵌入網(wǎng)絡(luò)博彩、色情鏈接嵌入業(yè)務(wù)安全風(fēng)險撞庫、口令暴力破解惡意注冊、搶單、搶座、投票DDOS拒絕服務(wù)攻擊Web安全核心問題02Web應(yīng)用環(huán)境數(shù)據(jù)庫安全漏洞操作系統(tǒng)安全漏洞中間件安全漏洞從安全角度考慮，Web應(yīng)用中的中間件、數(shù)據(jù)庫、操作系統(tǒng)等均會影響Web系統(tǒng)的安全。因此，在Web系統(tǒng)中，無論有多少硬件設(shè)備、提供支持的組件有哪些，只要它們?yōu)閃eb提供支持，都要納入防護體系。Web安全核心問題02HTTP協(xié)議作為Web應(yīng)用的基礎(chǔ)協(xié)議，其特點就是用戶請求<——>服務(wù)器響應(yīng)。在這個過程中，服務(wù)器一直處于被動響應(yīng)狀態(tài)，無法主動獲取用戶的信息?；谶@種交換環(huán)境，在客戶端可篡改任何請求參數(shù)，服務(wù)器必須對請求內(nèi)容進行響應(yīng)。Web存在安全隱患的核心問題：Web應(yīng)用類型復(fù)雜，防護經(jīng)驗無法復(fù)用。Web應(yīng)用包含的服務(wù)組件眾多，任意一個組件出現(xiàn)問題都會影響整體的安全程度。由于HTTP協(xié)議的特性，用戶端的所有行為均不可信。與傳統(tǒng)安全的區(qū)別03對比項傳統(tǒng)系統(tǒng)安全Web應(yīng)用安全通用性建立在使用較廣的通用軟件基礎(chǔ)上每一個應(yīng)用相當(dāng)于一個獨立的軟件開發(fā)者通常是具有較高專業(yè)技術(shù)的廠商和人員，對安全有一定的理解開發(fā)者水平參差不齊，對于安全的理解往往較為不足漏洞的檢測建立在漏洞已知、確定的基礎(chǔ)上基于業(yè)務(wù)特點，對可能的存在的漏洞進行檢測漏洞的挖掘需要對計算機結(jié)構(gòu)、操作系統(tǒng)原理、底層語言等有很深入的了解，難度大只需要掌握基礎(chǔ)的網(wǎng)站架構(gòu)、腳本語言、數(shù)據(jù)庫知識，難度低漏洞的修復(fù)由專業(yè)的廠商提供修復(fù)方案應(yīng)用開發(fā)人員自行修復(fù)攻擊途徑多數(shù)服務(wù)端口不開放在互聯(lián)網(wǎng)上，攻擊途徑較少Web應(yīng)用多數(shù)開放在互聯(lián)網(wǎng)上，攻擊途徑較多攻擊特征有數(shù)據(jù)級的攻擊特征，攻擊行為與正常業(yè)務(wù)行為的差異明顯攻擊特征不明顯，業(yè)務(wù)邏輯類漏洞在數(shù)據(jù)層面無攻擊特征防護難度對于已知漏洞的防護較為容易防護難度大Web應(yīng)用安全與傳統(tǒng)安全的區(qū)別課堂實踐一、任務(wù)名稱：熟悉HTTP請求和響應(yīng)流程二、任務(wù)內(nèi)容：使用瀏覽器訪問任意合法網(wǎng)站，打開Burpsuit軟件捕獲訪問數(shù)據(jù)包，找到用戶請求數(shù)據(jù)報文和服務(wù)器響應(yīng)數(shù)據(jù)報文，觀察請求數(shù)據(jù)和響應(yīng)數(shù)據(jù)特點。三、工具需求：瀏覽器、Burpsuit四、任務(wù)要求：完成實踐練習(xí)后，由老師檢查完成情況。課堂思考一、Web1.0、Web2.0、Web3.0主要區(qū)別有哪些？二、常見的Web中間件有哪些？三、什么是Web服務(wù)器？四、Web網(wǎng)站前臺和后臺的主要功能是什么？五、Web應(yīng)用常見安全風(fēng)險有哪些？六、Web安全的核心問題是什么？課后拓展：Web應(yīng)用安全事件調(diào)研請同學(xué)們通過互聯(lián)網(wǎng)查找近3年內(nèi)與Web應(yīng)用相關(guān)的網(wǎng)絡(luò)安全事件，分析導(dǎo)致相關(guān)安全事件發(fā)生的原因，提交word文檔或PPT，下節(jié)課會抽點部分同學(xué)上來給大家分享一下自己了解到的Web應(yīng)用安全事件案例。THANK

YOUToBeContinued項目一Web安全基礎(chǔ)Web安全與防護本任務(wù)要點學(xué)習(xí)目標(biāo)HTTP報文格式URL格式及作用HTTPS認證流程熟悉HTTP請求報文和響應(yīng)報文格式。熟悉URL格式。熟悉HTTPS基本概念和工作原理。能夠分析捕獲的HTTP報文內(nèi)容。任務(wù)三HTTP協(xié)議及安全性目錄CONTENTS01/HTTP請求報文02/HTTP響應(yīng)報文03/URL基本概念04/HTTPS安全性分析HTTP請求報文01HTTP協(xié)議

RFC2616，HTTP1.1。超文本傳輸協(xié)議（英文：HyperTextTransferProtocol，縮寫：HTTP）是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。設(shè)計HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁面的方法。通過HTTP協(xié)議請求的資源由統(tǒng)一資源標(biāo)識符（UniformResourceIdentifiers，URI）來標(biāo)識。HTTP是一個應(yīng)用層協(xié)議，它使用TCP連接進行可靠的傳送。HTTP有兩類報文：請求報文和響應(yīng)報文。HTTP報文是面向文本的，報文中的每一個字段都是一些ASCII碼串，各個字段的長度是不確定的。HTTPS（HypertextTransferProtocoloverSecureSocketLayer）簡單講是HTTP的安全版，在HTTP下加入SSL層。SSL（SecureSocketsLayer安全套接層）主要用于Web的安全傳輸協(xié)議，在傳輸層對網(wǎng)絡(luò)連接進行加密，保障在Internet上數(shù)據(jù)傳輸?shù)陌踩TTP無狀態(tài)性：HTTP協(xié)議是無狀態(tài)的(stateless)。也就是說，同一個客戶端第二次訪問同一個服務(wù)器上的頁面時，服務(wù)器無法知道這個客戶端曾經(jīng)訪問過，服務(wù)器也無法分辨不同的客戶端。HTTP的無狀態(tài)特性簡化了服務(wù)器的設(shè)計，使服務(wù)器更容易支持大量并發(fā)的HTTP請求。HTTP請求報文01HTTP協(xié)議

HTTP持久連接

HTTP1.0使用的是非持久連接，主要缺點是客戶端必須為每一個待請求的對象建立并維護一個新的連接，即每請求一個文檔就要有兩倍RTT的開銷。因為同一個頁面可能存在多個對象，所以非持久連接可能使一個頁面的下載變得十分緩慢，而且這種短連接增加了網(wǎng)絡(luò)傳輸?shù)呢摀?dān)。HTTP1.1使用持久連接keepalive，所謂持久連接，就是服務(wù)器在發(fā)送響應(yīng)后仍然在一段時間內(nèi)保持這條連接，允許在同一個連接中存在多次數(shù)據(jù)請求和響應(yīng)，即在持久連接情況下，服務(wù)器在發(fā)送完響應(yīng)后并不關(guān)閉TCP連接，而客戶端可以通過這個連接繼續(xù)請求其他對象。HTTP/1.1協(xié)議持久連接的兩種方式：非流水線方式：客戶在收到前一個響應(yīng)后才能發(fā)出下一個請求;流水線方式：客戶在收到HTTP的響應(yīng)報文之前就能接著發(fā)送新的請求報文。HTTP請求報文01http請求報文由請求行<request-line>、請求頭部<headers>、空行＜blank-line＞和請求數(shù)據(jù)＜request-body＞4個部分組成HTTP請求報文01請求報文請求行：由3部分組成：請求方法、URL、協(xié)議版本，之間由空格分隔請求方法——包括GET、HEAD、PUT、POST、TRACE、OPTIONS、DELETE以及擴展方法，并不是所有的服務(wù)器都實現(xiàn)了所有的方法，部分方法即便支持，出于安全性的考慮也是不可用的。最基本的方法有4種：GET、POST、PUT、DELETE，對應(yīng)著對URL資源的查，改，增，刪4個操作；GET一般用于獲取/查詢資源信息，而POST一般用于更新資源信息。協(xié)議版本——格式為：HTTP/主版本號.次版本號，常用的有HTTP/1.0和HTTP/1.1請求頭部為請求報文添加了一些附加信息，由“名/值”對組成，每行一對，名和值之間使用冒號分隔。請求頭部的最后會有一個空行，表示請求頭部結(jié)束，接下來為請求正文，這一行非常重要，必不可少。HTTP請求報文01請求報文請求正文：可選部分，比如GET請求就沒有請求正文POST比GET方式的安全性要高：(1)登錄頁面有可能被瀏覽器緩存；(2)通過GET提交數(shù)據(jù)，用戶名和密碼將明文出現(xiàn)在URL上，其他人查看瀏覽器的歷史紀錄，就可以拿到你的賬號和密碼；(3)當(dāng)遇上跨站的攻擊時，安全性的表現(xiàn)更差。HTTP響應(yīng)報文02HTTP響應(yīng)報文主要由狀態(tài)行、響應(yīng)頭部、響應(yīng)正文3部分組成HTTP響應(yīng)報文02響應(yīng)報文請求行：由3部分組成，分別為：協(xié)議版本，狀態(tài)碼，狀態(tài)碼描述，之間由空格分隔1xx：指示信息--HTTP/1.1向協(xié)議中引入了信息性狀態(tài)碼，表示請求已接收，繼續(xù)處理；2xx：成功--表示請求已被成功接收、理解、接受；3xx：重定向--要完成請求必須進行更進一步的操作；4xx：客戶端錯誤--請求有語法錯誤或請求無法實現(xiàn)；5xx：服務(wù)器端錯誤--服務(wù)器未能實現(xiàn)合法的請求。HTTP響應(yīng)報文02響應(yīng)報文響應(yīng)頭部：與請求頭部類似，為響應(yīng)報文添加了一些附加信息。URL基本概念03怎樣標(biāo)志分布在整個因特網(wǎng)上的萬維網(wǎng)文檔？Web采用“統(tǒng)一資源定位符”（URLUniformResourceLocator）來惟一標(biāo)識和定位萬維網(wǎng)上的各種文檔。通用的URL描述格式為：信息服務(wù)類型：//信息資源地址[：端口號]/路徑名/文件名<協(xié)議>://<主機>:<端口>/<路徑>ftp——文件傳送協(xié)議FTPhttp——超文本傳送協(xié)議HTTPURL基本概念03使用HTTP的URL的一般形式

http://<主機>:<端口>/<路徑>

HTTP的默認端口號是80，通?？墒÷?/p>

http://<主機>:<端口>/<路徑>

若再省略文件的<路徑>項，則URL就指到因特網(wǎng)上的某個主頁(homepage)。URL基本概念03URI、URL和URN之間的區(qū)別URI全名為UniformResourceIndentifier（統(tǒng)一資源標(biāo)識），用來唯一的標(biāo)識一個資源，是一個通用的概念，URI由兩個主要的子集URL和URN組成URL全名為UniformResourceLocator（統(tǒng)一資源定位），通過描述資源的位置來標(biāo)識資源URN全名為UniformResourceName（統(tǒng)一資源命名），通過資源的名字來標(biāo)識資源，與其所處的位置無關(guān)，這樣即使資源的位置發(fā)生變動，其URN也不會變化HTTPS安全性分析04為什么使用HTTPSHTTP協(xié)議在傳輸中，未對傳輸?shù)臄?shù)據(jù)進行加密處理，因此對會話過程進行抓包分析，很容易獲得用戶當(dāng)前的行為，包括用戶的登錄情況、用戶名和口令、訪問地址等。HTTPS安全性分析04什么是HTTPSHTTPS協(xié)議又稱為“安全超文本傳輸協(xié)議”，它是HTTP協(xié)議的安全版本，主要通過在HTTP和TCP/IP之間添加一層加密層來增強數(shù)據(jù)傳輸?shù)陌踩?。HTTPS并不是一個獨立的協(xié)議，通俗地說，HTTPS協(xié)議就是HTTP依托SSL協(xié)議來達到數(shù)據(jù)安全傳輸?shù)男Ч?。SSL(SecureSocketsLayer，安全套接層）是一種為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的安全協(xié)議。其后續(xù)規(guī)范協(xié)議TLS（TransportLayerSecurity）對原有SSL協(xié)議進行了擴展。目前，HTTP協(xié)議都是利用TLS實現(xiàn)傳輸加密過程。HTTPS安全性分析04HTTPS協(xié)議的特點加密：HTTPS協(xié)議使用SSL或TLS協(xié)議對數(shù)據(jù)進行加密，保證了數(shù)據(jù)在傳輸過程中被竊聽的安全性（密文與原始明文差異極大）。數(shù)據(jù)完整性：HTTPS協(xié)議可以保證數(shù)據(jù)在傳輸過程中未被修改，保護數(shù)據(jù)的完整性。身份驗證：通過SSL/TLS證書驗證服務(wù)器的身份，保證客戶端訪問的是目標(biāo)服務(wù)器而非冒名頂替的服務(wù)器，可以防止“中間人”攻擊。HTTPS安全性分析04HTTPS如何保證數(shù)據(jù)安全傳輸對稱加密非對稱加密數(shù)字證書解決密鑰傳輸和數(shù)據(jù)加密問題解決中間人攻擊問題HTTPS安全性分析04HTTPS如何保證數(shù)據(jù)安全傳輸對稱加密非對稱加密解決密鑰傳輸和數(shù)據(jù)加密問題在實際情況中往往采用非對稱加密的方式將公鑰傳輸給客戶端，接著客戶端再生成一把對稱密鑰，使用公鑰對該密鑰進行加密后傳輸給服務(wù)器，服務(wù)器收到請求后使用私鑰解密得到對稱密鑰，在后面的通信過程中，雙方都使用對稱密鑰傳輸信息。解決：

1）對稱加密，密鑰傳遞困難的問題；2）非對稱加密算法資源消耗高的問題。HTTPS安全性分析04HTTPS如何保證數(shù)據(jù)安全傳輸對稱加密非對稱加密解決密鑰傳輸和數(shù)據(jù)加密問題中間人攻擊將有可能獲得通信雙方傳輸?shù)募用軘?shù)據(jù)的明文信息：1）客戶端向服務(wù)器詢問公鑰；2）黑客傳遞詢問公鑰請求，服務(wù)器端生成public1和private1，并把公鑰public1作為響應(yīng)返回；3）黑客收到public1后保存下來（用于后面加密對稱密鑰，達到隱藏自己的目的），同時自己生成public2和private2，將public2返回給客戶端；4）客戶端收到公鑰后，用public2加密自己生成的對稱密鑰并傳遞給服務(wù)器；5）黑客收到請求，使用private2解密獲取用于日常數(shù)據(jù)傳輸?shù)膶ΨQ密鑰，再用public1加密對稱密鑰，傳遞給服務(wù)器。（這樣既能使服務(wù)器和客戶端能夠正常使用對稱密鑰傳輸數(shù)據(jù)，也能夠達到隱藏自己的目的，后面就能隨意監(jiān)聽通信雙方傳輸?shù)臄?shù)據(jù)，甚至偽裝成另一方與對面通信，以此達到其他非法目的）；6）服務(wù)器收到請求，使用private1解密獲取對稱密鑰，此時服務(wù)器和客戶端都認為彼此是直接、安全地進行通信。中間人攻擊指攻擊者在通信雙方之間秘密穿插自己，甚至偽裝成通信的另一方，使得通信雙方認為他們在直接地、安全地與對方通信，但實際上所有傳遞的信息都經(jīng)過攻擊者，從而通過這種攻擊達到竊取通信過程的敏感數(shù)據(jù)或篡改數(shù)據(jù)的目的。HTTPS安全性分析04HTTPS如何保證數(shù)據(jù)安全傳輸對稱加密非對稱加密數(shù)字證書1）思考一：若黑客替換了證書中的公鑰是否可行？2）思考二：若黑客將公鑰連同加密的校驗和一同替換了是否可行？3）思考三：若黑客也向公證機構(gòu)申請一個證書，將證書里的公鑰、校驗和等屬性替換成自己的，后面再將證書傳遞給客戶端，借助上述的中間人攻擊手段，達到竊聽、修改通信數(shù)據(jù)的目的。這種方法是否可行？HTTPS安全性分析041）思考一：若黑客替換了證書中的公鑰是否可行？2）思考二：若黑客將公鑰連同加密的校驗和一同替換了是否可行？3）思考三：若黑客也向公證機構(gòu)申請一個證書，將證書里的公鑰、校驗和等屬性替換成自己的，后面再將證書傳遞給客戶端，借助上述的中間人攻擊手段，達到竊聽、修改通信數(shù)據(jù)的目的。這種方法是否可行？不可行。因為一旦服務(wù)器的公鑰被替換，客戶端如果證書計算出來的校驗和一定與解密后的原始校驗和不一致，這樣則說明了公鑰或其他內(nèi)容被修改過。不可行。因為若要替換校驗和需使用私鑰加密，而私鑰是公證機構(gòu)持有的，若使用黑客生成的私鑰加密校驗和，客戶端則不能正確解密數(shù)字簽名，因此這種方法也是行不通的。不可行。因為申請證書需要提交各種證明自己身份的資料，公證機構(gòu)會對這些資料進行審查，若發(fā)現(xiàn)申請的域名不是自身持有的則不會頒發(fā)數(shù)字證書。課堂實踐一、任務(wù)名稱：分析HTTP完整會話過程二、任務(wù)內(nèi)容：使用wireshark、burpsuite獲取Web訪問數(shù)據(jù)包，分析一次完整的Web訪問會話：TCP三次握手、HTTP請求、HTTP響應(yīng)、TCP四次分手。三、工具需求：瀏覽器、wireshark、Burpsuit四、任務(wù)要求：完成實踐練習(xí)后，由老師檢查完成情況。課堂思考一、HTTP/1.1協(xié)議持久連接有哪幾種方式？二、http請求報文由哪幾部分組成？三、http最基本的請求方法是哪幾種？四、HTTP響應(yīng)報文由哪幾部分組成？五、響應(yīng)報文中4XX狀態(tài)碼表示什么含義？六、URI、URL和URN的區(qū)別和聯(lián)系是什么？課后拓展：POST和GET安全性調(diào)查請同學(xué)們通過互聯(lián)網(wǎng)查找有關(guān)HTTP的POST和GET請求方式相關(guān)資料，學(xué)習(xí)兩種請求方式的異同，并分析為什么使用POST請求方式，安全性比使用GET請求方式高一些。下節(jié)課會抽點部分同學(xué)進行解答和分享。THANK

YOUToBeContinued項目一Web安全基礎(chǔ)Web安全與防護本任務(wù)要點學(xué)習(xí)目標(biāo)字符編碼傳輸過程的編碼熟悉字符編碼的原理和作用。熟悉URL編碼方法。熟悉Base64編碼方法。任務(wù)四Web應(yīng)用中的編碼目錄CONTENTS01/字符編碼02/傳輸過程的編碼接收方發(fā)送方字符編碼01字符是各種文字和符號的總稱，其中包括各個國家文字、標(biāo)點符號、圖形符號、數(shù)字等。常見的語言都有對應(yīng)的字符編碼，字符編碼就是約定某個字在計算機中的編號。在Web系統(tǒng)中，需要使用某種編碼方式來表現(xiàn)語言所對應(yīng)的文字和格式。編碼解碼傳輸有信息交換就會產(chǎn)生編碼、傳輸、解碼三個過程編碼是信息從一種形式轉(zhuǎn)變成另一種形式的過程。比如人類的語言通過聲帶編碼，轉(zhuǎn)換成聲波。解碼是編碼的逆函數(shù)，耳膜接收聲波，通過腦神經(jīng)解碼成人類文化所能理解的信息。在不同的編碼中，同一個字對應(yīng)的編號完全不同，因此容易形成“亂碼”。字符編碼01ASCII編碼：(AmericanStandardCodeforInformationInterchange，美國信息交換標(biāo)準代碼）上個世紀60年代，美國制定的一套字符編碼，對英語字符與二進制位之間的關(guān)系，做了統(tǒng)一規(guī)定，被稱為ASCII碼，是基于拉丁字母的一套電腦編碼系統(tǒng)，主要用于顯示現(xiàn)代英語和其他西歐語言。是最通用的信息交換標(biāo)準，等同于國際標(biāo)準ISO/IEC646。計算機內(nèi)部，所有信息最終都是一個二進制值。每一個二進制位（bit）有0和1兩種狀態(tài)，因此八個二進制位就可以組合出256種狀態(tài)，這被稱為一個字節(jié)（byte）。因此，一個字節(jié)一共可以用來表示256種不同的狀態(tài)，每一個狀態(tài)對應(yīng)一個符號，就是256個符號，從00000000到11111111。常見ASCII碼的大小規(guī)則：0~9<A~Z<a~z1）數(shù)字比字母要小，如“7”<“F”；2）數(shù)字0比數(shù)字9要小，并按0到9順序遞增，如“3”<“8”；3）字母A比字母Z要小，并按A到Z順序遞增，如“A”<“Z”；同理，字母a比字母z要小，“a”<“z”；4）同個字母的大寫字母比小寫字母要小32，如“A”<“a”；字符編碼01ASCII編碼：(AmericanStandardCodeforInformationInterchange，美國信息交換標(biāo)準代碼）字符編碼01英語是字母文字，其常用單詞均可以利用26個字母拼接實現(xiàn)，因此ASCII編碼可滿足英語環(huán)境。但在面對形意文字時，使用ASCII編碼會有非常大的問題。中文是典型的形意文字，常用的文字數(shù)量達到350個以上，僅僅利用8bit提供的256個編碼數(shù)量遠遠無法滿足編碼需求。Unicode編碼UTF-8的特點是對不同范圍的字符使用不同長度的編碼。UTF-16編碼以16位無符號整數(shù)為單位。我們把Unicode編碼記作U。前綴寫為\u、%u。UTF-32編碼以32位無符號整數(shù)為單位。Unicode編碼與ASCII編碼不兼容，但可以轉(zhuǎn)換?！驹囈辉嚒吭L問/unicode/站點，嘗試將“你好”轉(zhuǎn)換成Unicode編碼和ASCII編碼。Unicode編碼，又稱萬國碼、國際碼、統(tǒng)一碼，是為了解決傳統(tǒng)的字符編碼方案的局限而產(chǎn)生的，它為每種語言中的每個字符設(shè)定了統(tǒng)一并且唯一的二進制編碼，以滿足跨語言、跨平臺進行文本轉(zhuǎn)換、處理的要求。Unicode編碼共有三種具體實現(xiàn)，分別為utf-8,utf-16,utf-32，其中utf-8占用一到四個字節(jié)，utf-16占用二或四個字節(jié)，utf-32占用四個字節(jié)。Unicode編碼范圍是：0-0x10FFFF，可以容納1114112個字符。傳輸過程的編碼02URL與URL編碼URL(UniformResourceLocator，統(tǒng)一資源定位器、定位地址，俗稱網(wǎng)頁地址，簡稱網(wǎng)址)，是因特網(wǎng)上標(biāo)準的資源地址，如同在網(wǎng)絡(luò)上的門牌。完整格式：scheme:[//[user[:password]@]host[:port]][/path][?query][#fragment][協(xié)議類型]://[用戶名[:密碼]]@[服務(wù)器地址]:[端口號]/[資源層級文件路徑][文件名]?[查詢]#[片段ID]協(xié)議類型：常見的有http、https，還有ftp、file、mailto、data等。用戶名、密碼：這沒什么好解釋的，就是字面意思。服務(wù)器地址：有的時候你在URL上看到的是域名，其實會通過DNS轉(zhuǎn)為IP地址，所以還是服務(wù)器IP地址。端口號：常見80、443、21、22等。資源層級文件路徑：大部分會隱藏，就是服務(wù)器的目錄路徑，使用"/"區(qū)別每一層。文件名：如訪問網(wǎng)頁，可能是xxx.htm、xxx.html、xxx.php等，例如，index.html。查詢：使用"&"連接片段ID：有的時候被稱為“錨點”，一般是指CSS中的id，就是使用瀏覽器調(diào)試時看到的id屬性，有時也可通過這個進行XSS或sql注入?！驹囈辉嚒吭L問站點，收縮“URL”，觀察地址欄中的信息，嘗試分析一下URL的結(jié)構(gòu)。其中[用戶名[：密碼]]、[端口號]、[查詢]、[片段ID]都屬于選填項。傳輸過程的編碼02URL與URL編碼RFC3986文檔規(guī)定，URL中只允許包含英文字母（a~z、A~Z）、數(shù)字（0~9）、4個特殊字符（-、_、.、~），以及所有保留字符。在實際Web應(yīng)用中，所使用的字符遠不只這個范圍，如用戶輸入的參數(shù)中可能還帶有單引號、百分號、中文等。因此，需要對URL中的非允許字符進行編碼。URL編碼主體采用的是ASCII編碼表，編碼方式是用%（百分號）加上兩位字符代表一個字節(jié)。例如，單引號在ASCII中的十六進制編碼為27，在URL編碼中就是%27。時間狀態(tài)編碼前HTTP://3/loginPage.jsp?name＝測試＆passwd=ww121%$編碼后HTTP://3/loginPag.jsp?name=%E6%B5%8B%E8%AF%95&passwd=wwl21%25$對于中文字符，會先確認當(dāng)前頁面所用的編碼格式。假設(shè)當(dāng)前頁面為UTF-8編碼?？梢钥吹?，URL編碼里針對參數(shù)“wwl21%$”中的“%”進行了編碼，編碼結(jié)果為“%25”。針對中文字符“測試”，URL編碼為“%E6%85%8B%E8%AF%95”。查詢“測試”字符的UTF-8編碼，其十六進制編碼就是“E6B58BE8AF95”字符編碼十進制編碼十六進制測15119755E6B58B試15249301E8AF95【試一試】根據(jù)上面的方法，嘗試對“你好”進行URL編碼，寫出編碼字符傳輸過程的編碼02Base編碼Base編碼是一種將二進制數(shù)據(jù)轉(zhuǎn)換為可打印字符的編碼方式。它將二進制數(shù)據(jù)按照一定規(guī)則映射為一組字符，以便于傳輸和存儲。Base編碼常用于將二進制數(shù)據(jù)表示為文本形式，例如在URL中傳遞二進制數(shù)據(jù)或在數(shù)據(jù)庫中存儲二進制數(shù)據(jù)。常見Base編碼方式有Base16、Base32、Base64。Base16編碼也稱為十六進制編碼，將每個字節(jié)的高4位和低4位分別轉(zhuǎn)換為一個可打印字符，使用16個字符（包括0-9和A-F）進行表示。常用于表示散列值、數(shù)字簽名和其他需要可讀性較高的二進制數(shù)據(jù)。Base32編碼將5個字節(jié)的二進制數(shù)據(jù)轉(zhuǎn)換為8個可打印字符，使用32個字符（包括大寫字母和數(shù)字）進行表示。常用于在文件名、DNS記錄和身份驗證令牌中表示二進制數(shù)據(jù)。Base64編碼將3個字節(jié)的二進制數(shù)據(jù)轉(zhuǎn)換為4個可打印字符，使用64個字符（包括大小寫字母、數(shù)字和特殊字符）進行表示。常用于在電子郵件、HTTP請求和XML文檔中傳輸二進制數(shù)據(jù)。Base編碼方式可打印字符：Base編碼將二進制數(shù)據(jù)轉(zhuǎn)換為可打印字符，方便傳輸和存儲。容錯性：Base編碼可以處理部分數(shù)據(jù)丟失或錯誤，因為編碼后的數(shù)據(jù)仍然可以被解碼還原為原始的二進制數(shù)據(jù)。Base