WEB软件安全性测试课程.PDF

WEB软件安全性测试课程 专 业 的 I T 培 训 专 家 顾 翔 WEB软件安全性测试课程 • WEB安全知识介绍 • WEB安全基础 • 前端安全性 • 后端安全性 • WEB安全的测试 WEB安全知识介绍 白帽子、黑帽子 在计算机安全领域，黑客是一群破坏规则、不喜欢被拘束的人， 因此总想着能够找到系统的漏洞，以获得一些规则之外的权力。 黑帽子黑客 白帽子黑客 WEB安全知识介绍 五大白帽子黑客 • Stephen Wozniak Wozniak和史蒂夫·乔布斯一起，是apple 的联合创始人。他的黑客之旅也是源于盗打免 费电话。 • Tim Berners-Lee 提姆 ·伯纳斯 ·李是互联网之父，当他还是牛津大学的一名学生时就开始和同伴一起 攻击，之后他被学校禁用电脑。 • Linus Torvalds 李纳斯·托沃兹是最优秀的类Unix 系统——Linux之父。 • Richard Stallman • Tsutomu Shimomura 下村勉的成名得益于著名的的黑帽黑客--Kevin Mitnick的一次攻击。 WEB安全知识介绍 安全三要素 机密性要求保护数据内容不能泄露，加密是实现机 • 机密性（Confidentiality） 密性要求的常见手段。 完整性则要求保护数据内容是完整、没有被篡改的。常 • 完整性 （Integrity） 见的保证一致性的技术手段是数字签名。 可用性要求保护资源是“随需而得”。DDOS攻击 • 可用性（Availability） 可审计性、不可抵赖性等 WEB安全知识介绍 白帽子兵法 • 白名单 • 黑名单 可以使用的网络端口： • SECURE BY DEFAULT 特务分子名单： • 22  黑名单，白名单 • 李义山 • 23  最小权限原则 • 张华明 • 55 • 纵深防御原则（Defense in Depth）： • 李行山 • 80 • 吴邪 • 70 多层过滤的体系 • … • … • 数据与代码分离原则 • 不可预测性原则 WEB软件安全性测试课程 • WEB安全知识介绍 • WEB安全基础 • 前端安全性 • 后端安全性 • WEB安全的测试 Web安全基础 同源策略 影响源的因素：host,子域名, 端口,协议 通过以下代码: script scr=/b.js/script 加载了上的b.js ，但是b.js是运行在 页面中的，因此相对于当前打开的页面 ()来说，b.js的源就应该是 而非 不同于XMLHttpRequest 的是，通过src属性加载的资源，浏览器限制了JavaScript 的权限，使 其不能读、写返回的内容。 XMLHttpRequest 不能跨域访问资源。但是有跨域请求的需求，因此W3C指定了 XMLHttpRequest 的跨域访问标准。它需要通过目标域返回的Http头来授权是否允许跨域访 问，因此HTTP头对于JavaScript 来说一般是无法控制的，所以认为这个方案是可行的。注