第十一章：互联网安全-Web攻击及防御技术详解.ppt

第十一章 Web攻击及防御技术;本章内容安排;11.1 Web安全概述;11.1 Web安全概述;11.1 Web安全概述;11.1 Web安全概述;Web服务器的安全;Web服务器的安全(2);Web客户端的安全;Web客户端的安全(2);Web通信信道的安全;11.1 Web安全概述;*;11.2.1 指纹识别理论;指纹识别理论(2);*;*;*;*;*;*;*;*;*;*;11.2.5 Web服务器协议行为;协议行为分析实例;Exp1：基本的Http请求;Apache1.3.23;IIS5.0;NetscapeEnterprise4.1;Exp2：HttpDELETE请求;Apache1.3.23;IIS5.0;NetscapeEnterprise4.1;Exp3：非法Http协议版本请求;Apache1.3.23;IIS5.0;NetscapeEnterprise4.1;Exp4：不正确规则协议请求;Apache1.3.23;IIS5.0;NetscapeEnterprise4.1;测试小结;11.2.6 Http指纹识别工具;Httprint的Http签名;Httprint介绍;Httprint介绍;httprint v0.301 主界面;输出结果报告;识别模糊的Banner信息;*;*;*;*;*;*;*;*;*;*;*;11.4 跨站脚本攻击;11.4.1 跨站脚本攻击概述;什么是XSS攻击;;;跨站脚本攻击的危害;跨站脚本攻击的危害(2);跨站脚本攻击发起条件;11.4.2 跨站脚本攻击过程;步骤一：寻找XSS漏洞;寻找XSS漏洞(2);寻找XSS漏洞(3);寻找XSS漏洞(4);寻找XSS漏洞(5);寻找XSS漏洞(6);寻找XSS漏洞(7);步骤二：注入恶意代码;注入恶意代码(2);注入恶意代码(3);注入恶意代码(4);注入恶意代码(5);注入恶意代码(6);注入恶意代码(7);步骤三：欺骗用户访问;11.4.3 跨站脚本攻击实例;11.4.3 跨站脚本攻击实例;11.4.3 跨站脚本攻击实例;环境配置;环境配置(2);论坛主界面;查看帖子;检测漏洞;检测漏洞(2);检测漏洞(3);漏洞利用;漏洞利用(2);漏洞利用(3);漏洞利用(4);漏洞利用(5);漏洞利用(6);11.4.4 防御跨站脚本攻击;普通的浏览网页用户 ;Web应用开发者;*;;*;最简单的SQL注入实例;最简单的SQL注入实例(2);*;*;*;*;*;*;*;*;*;*;*;*;*;11.5.3 SQL注入的防范;11.6 网页验证码攻击;11.6.1 网页验证码概述;11.6.2 验证码技术;基于表单自动提交的HTTP攻击;基于表单自动提交的HTTP攻击(2);基于验证码的表单提交流程;基于验证码的表单提交流程(2);验证码的有效性;验证码的类型;文本验证码;手机验证码;邮件验证码;图片验证码;图片验证码(2);噪声;字体;自动识别图像验证码;自动识别图像验证码(2);彩色去噪;二值变换;黑白去噪;字符分割;字符识别;11.6.3 验证码识别工具演示;11.6.4 防范验证码攻击;防范验证码攻击(2);防范验证码攻击(3);防范验证码攻击(4);防范验证码攻击(5);*;*;*;*;*;*;*;*;*;基于Windows系统Web服务器安全配置;IIS安全安装 ;IIS安全配置;IIS安全配置--删除不必要的虚拟目录;IIS安全配置--删除危险的IIS组件;IIS安全配置--为IIS中的文件分类设置权限;IIS安全配置--删除不必要的应用程序映射;IIS安全配置--删除不必要的应用程序映射(2);IIS安全配置--保护日志安全;*;*;*;11.7.2 Web浏览者的安全措施;Web浏览者的安全措施(2);11.7.3 Web安全需澄清的五个误解;“Web网站使用了SSL加密，所以很安全” ;“Web网站使用了防火墙，所以很安全” ;“漏洞扫描工具没发现任何问题，所以很安全” ;“网站应用程序的安全问题是程序员造成的” ;“我们每年会对Web网站进行安全评估，所以很安全” ;*;*