第5章 Web服务器攻击剖析-精品·公开课件.pptVIP

随着Internet和电子商务的飞速发展，Web站点已成为提供Web服务的重要形式，成为一种极有价值的资源。Web服务程序通常都具有交互性，但随之而来的问题也较明显，Web应用程序和服务的增长已超越了程序开发人员所接受的安全培训和安全意识的范围， Web应用系统的安全风险达到了前所未有的高度，对网络的攻击已经深入到对Web的安全攻击。 据统计，目前互联网上网站数据几乎每3年翻一倍，伴随着网站数量的增加，针对网站的攻击数量也在急剧增长。 因此，为防御Web攻击和保证Web服务器安全，学习和掌握Web服务器攻击原理和技术是必不可少的一环。 5.1 Web服务器 Web服务器也称为WWW(World Wide Web)服务器，主要功能是提供网上信息浏览服务。 WWW 也可以简称为 Web，中文名字为“万维网”。 通过万维网，人们只要通过使用简单的方法，就可以很迅速方便地取得丰富的信息资料。 由于用户在通过 Web 浏览器访问信息资源的过程中，无需再关心一些技术性的细节，而且界面非常友好，因而 Web 在Internet 上一推出就受到了热烈的欢迎，走红全球，并迅速得到了爆炸性的发展。 5.1 Web服务器 至1993年，WWW技术有了突破性进展，它解决了远程信息服务中的文字显示、数据连接以及图像传递的问题，使得 WWW 成为 Internet 上最为流行的信息传播方式。 WWW采用的是客户/服务器结构，其作用是整理和储存各种资源，并响应客户端软件的请求，把客户所需的资源传送到 Windows 、UNIX 或 Linux 等平台上。 5.1 Web服务器 通俗的讲，Web服务器传送(serves)页面使浏览器可以浏览，然而应用程序服务器提供的是客户端应用程序可以调用(call)的方法(methods)。确切一点，可以说：Web服务器专门处理HTTP请求(request)，但是应用程序服务器是通过很多协议来为应用程序提供(serves)商业逻辑(business logic)。 5.1 Web服务器 Web服务器可以解析(handles)HTTP协议。当Web服务器接收到一个HTTP请求(request)，会返回一个HTTP响应(response)，例如送回一个HTML页面。 为了处理一个请求(request)，Web服务器可以响应(response)一个静态页面或图片，进行页面跳转(redirect)，或者把动态响应(dynamic response)的产生委托(delegate)给一些其它的程序例如CGI脚本、JSP(Java Server Pages)脚本、servlets、ASP(Active Server Pages)脚本、服务器端JavaScript、或者一些其它的服务器端(server-side)技术。无论它们的目的如何，这些服务器端(server-side)的程序通常产生一个HTML的响应(response)来让浏览器可以浏览。 5.1 Web服务器 应用程序服务器通过各种协议（包括HTTP)，把商业逻辑暴露给客户端应用程序。Web服务器主要是处理向浏览器发送HTML以供浏览，而应用程序服务器提供访问商业逻辑的途径以供客户端应用程序使用。应用程序使用此商业逻辑就象你调用对象的一个方法(或过程语言中的一个函数)一样。 应用程序服务器的客户端(包含有图形用户界面(GUI)的)可能会运行在一台PC、一个Web服务器或者甚至是其它的应用程序服务器上。在应用程序服务器与其客户端之间来回穿梭(traveling)的信息不仅仅局限于简单的显示标记。相反，这种信息就是程序逻辑(program logic)。 正是由于这种逻辑取得了(takes)数据和方法调用(calls)的形式而不是静态HTML，所以客户端才可以随心所欲的使用这种被暴露的商业逻辑。 5.1 Web服务器 1. Web服务器硬件 服务器：类似PC，但要求更高 性能要求：长时间、高速、可靠地运行，不能轻易断电、关机、停止服务，即使发生故障，也必须能很快恢复。 最主要的高性能：I/O能力、稳定性 硬件：要求读写速度高、稳定性好的SCSI磁盘或RAID磁盘阵列，更大内存，多CPU 网络设备：网线、网卡、路由器、交换机等。 为满足高带宽、多用户同时在线的需要，网络、网卡、路由器等都需要使用高性能的设备。 其中带有防火墙的网络设备可有效保证Web服务器的安全，如Cisco的交换机和路由器等。 5.1 Web服务器 2. Web服务器软件 操作系统不同，服务器软件也不同 操作系统：Windows Server、Linux、Unix系列。 Windows Server操作系统下的Web服务器程序主要是微软自己开发的IIS，它是当前Windows平台下使用最广泛的Web服务器软