信息安全导论第3章 Web应用安全 (2).pptxVIP

第3章 WEB应用安全目录3.1WEB应用安全基础3.2常见的WEB安全应用漏洞3.3数据库安全3.4案例实践3.1WEB应用安全基础3.1.1 WEB常见结构3.1.2 WEB请求流程客户端服务端Request请求12Response响应3.1.2 WEB请求流程3.1.2 WEB请求流程-http简介HTTP协议是Hyper Text Transfer Protocol（超文本传输协议）的缩写,是用于从万维网（WWW:World Wide Web ）服务器传输超文本到本地浏览器的传送协议。HTTP是一个基于TCP/IP通信协议来传递数据（HTML 文件, 图片文件, 查询结果等）。HTTP是一个属于应用层的面向对象的协议。HTTP协议工作于客户端-服务端架构为上。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。Web服务器根据接收到的请求后，向客户端发送响应信息。3.1.2 WEB请求流程-http简介HTTP之请求消息Request:客户端发送一个HTTP请求到服务器的请求消息包括以下格式：请求行（request line）、请求头部（header）、空行和请求数据四个部分组成。 http请求消息结构请求行以一个方法符号开头，以空格分开，后面跟着请求的URI和协议的版本。3.1.2 WEB请求流程-http简介HTTP之响应消息Response:一般情况下，服务器接收并处理客户端发过来的请求后会返回一个HTTP的响应消息。HTTP响应也由四个部分组成，分别是：状态行、消息报头、空行和响应正文。http响应消息格式3.1.2 WEB请求流程-http简介HTTP请求方法:根据HTTP标准，HTTP请求可以使用多种请求方法。HTTP1.0定义了三种请求方法： GET, POST 和 HEAD方法。HTTP1.1新增了五种请求方法：OPTIONS, PUT, DELETE, TRACE 和CONNECT 方法。请求方法方法作用GET请求指定的页面信息，并返回实体主体。POSTPOST 向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。HEAD类似于get请求，只不过返回的响应中没有具体的内容，用于获取报头。PUT 从客户端向服务器传送的数据取代指定的文档的内容。DELETE请求服务器删除指定的页面。CONNECT HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。OPTIONS 允许客户端查看服务器的性能。TRACE 回显服务器收到的请求，主要用于测试或诊断。3.1.2 WEB请求流程-http简介HTTP之状态码：状态代码有三位数字组成，第一个数字定义了响应的类别，共分五种类别:1xx：指示信息--表示请求已接收，继续处理 2xx：成功--表示请求已被成功接收、理解、接受3xx：重定向--要完成请求必须进行更进一步的操作4xx：客户端错误--请求有语法错误或请求无法实现5xx：服务器端错误--服务器未能实现合法的请求常见状态码常见状态码意义200//客户端请求成功400//客户端请求有语法错误，不能被服务器所理解401//请求未经授权，这个状态代码必须和WWW-Authenticate报头域一起使用 403//服务器收到请求，但是拒绝提供服务404//请求资源不存在，eg：输入了错误的URL500//服务器发生不可预期的错误503//服务器当前不能处理客户端的请求，一段时间后可能恢复正常3.1.3 WEB漏洞扫描3.1.3 WEB漏洞扫描AWVS功能介绍WebScanner，核心功能，Web安全漏洞扫描Site Crawler，爬虫功能，遍历站点目录结构Target Finder，端口扫描，找出web服务器，80,443Subdomain Scanner，子域名扫描器，利用DNS查询Blind SQL Injector，盲注工具HTTP Editor，http协议数据包编辑器HTTP Sniffer，HTTP协议嗅探器HTTP Fuzzer，模糊测试工具Authentication Tester，Web认证破解工具3.1.3 WEB漏洞扫描AWVS工作方式：3.1.3 WEB漏洞扫描通过使用AWVS对某个web应用系统进行扫描，发现其存在SQL注入漏洞和跨站点脚本攻击等漏洞，结果如右图所示：3.1.3 WEB漏洞扫描漏洞扫描工具IBM?Rational Appscan（简称Appscan）Appscan是web应用程序渗透测试舞台上使用最广泛的工具之一.它是一个桌面应用程序，它有助于专业安全人员进行Web应用程序自动化脆弱性评估。扫描能力，配置向导和详细的报表系统进行了整合，简化使用，增强用户