第7章应用安全技术概述.ppt

主要内容 7.1 Web应用安全技术 7.2 电子商务安全 7.3 电子邮件加密技术 7.4 防垃圾邮件技术 7.5 网络防钓鱼技术 7.6 QQ安全使用 7.7 网上银行账户安全 7.8 使用WinHex HTML和JavaScript语言 HTML是一种用来制作网页的标记语言，它不需要编译，可以直接由浏览器执行，属于浏览器解释型语言。 JavaScript是一种基于对象和事件驱动并具有相对安全性的客户端脚本语言。同时也是一种广泛用于客户端Web开发的脚本语言，常用来给HTML网页添加动态功能，比如响应用户的各种操作。 练习 P268 Web技术简介与安全分析 Webshell “web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。 webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。 由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。 上传漏洞 在浏览器地址栏中网址的后面加上“/upfile.asp”（或与此含义相近的名字），如果显示“上传格式不正确”等类似的提示，说明存在上传漏洞，可以用上传工具得到WebShell。 暴库 暴库就是通过猜测数据库文件所在的路径来将其下载，得到该文件后就可以破解该网站的用户密码了。 旁注 利用同一主机上面不同网站的漏洞得到w