web安全介绍与基础入门知识.pdfVIP

Web安全介绍与基础入门知识 Web安全介绍与基础入门知识—课程概要 • Web应用安全发展与介绍 • HTTP协议与会话管理 • Web应用的组成与网页的渲染 • 浏览器特性与安全策略 Web安全介绍与基础入门知识 Web应用安全发展与介绍 Web应用安全发展与介绍 • 1990年代初 ，部分人开始研究黑客技术 • 1997-1999年 ，黑客团队涌现，进入黄金时代 • 21世纪初，黑客工具傻瓜化，门槛降低，黑客精神不在… • 今天，希望是安全的春天 Web应用安全发展与介绍 Web安全 ，也可以叫做Web应用安全。互联网本来是安全的，自从有了研究安 全的人之后，互联网就变的不安全了。 Web应用安全发展与介绍 Web应用经历了开始、1.0以及现在3.0概念的出现，不断的发展： • 20世纪60年代IBM的GML （通用标记语言）以及发展到后来的SGML （标准通用 标记语言） • 20世纪90年代，HTML的出现 • 浏览器的出现与发展 • 2004之后，XMLHttpRequest的出现将Web推向2.0时代 • 而现在，开始出现Web3.0的概念 Web应用安全发展与介绍 Web安全跟随着Web应用的发展也不断发展着： • Web 1.0时代，更多被关注的时服务器端的脚本的安全问题 • Web 2.0时代，2005年Samy蠕虫的爆发震惊了世界，Web安全主战场由服务器 端转换到浏览器 • SQL注入和XSS的出现发别是Web安全史上的两个里程碑 Web应用安全发展与介绍 Web安全的本质是信任问题 • 由于信任，正常处理用户恶意的输入导致问题的产生 • 非预期的输入 • 安全是木桶原理，短的那块板决定的木桶世纪能装多少水，同样的，假设把 99%的问题都处理了，那么1%的余留会是造成安全问题的那个短板 Web安全介绍与基础入门知识 HTTP协议与会话管理 HTTP协议与会话管理 当我们访问一个网址的时候，这中间发生了什么？ • 输入网址 • 浏览器查找域名的IP地址 • 浏览器给Web服务器发送一个HTTP请求 • 服务端处理请求 • 服务端发回一个HTTP响应 • 浏览器渲染显示HTML HTTP协议与会话管理 让我们来看一个URL （统一资源定位器） scheme://login:password@address:port/path/to/resource/?query_string#fragment 1 2 3 4 5 6 7 8 编号 说明 1 协议名称 2 层级URL的标记符号（固定不变，语法规定） 3 访问资源需要的凭证信息（可选） 4 从哪个服务器获取数据 5 需要连接的端口号（默认80 ，可选） 6 指向资源的层级文件路径 7 查询字符串 8 片段ID HTTP协议与会话管理 接下来我们来看下，请求一个网址的时候到底发送和返回了什么？ HTTP协议与会话管理 Cookie 字段 说明 Name Cookie名称 Value Cookie的值 Domain 用于指定Cookie的有效域 Path 用于指定Cookie的有效URL路径 Expires 用于设定Cookie的有效时间 Secure 如果设置该属性，仅在HTTPS请求中提交Cookie Http 其实应该是HttpOnly ，如果设置该属性，客户端JavaScript无法