项目1： Web应用安全基础.pptxVIP

项目1：Web应用安全基础

项目目标知识目标1.了解web安全起源2.理解web体系结构3.掌握Web应用安全分析能力目标1.能对浏览器安全设置2.能对服务器安全配置情感目标1.自主、开放的学习能力2.良好的自我表现、与人沟通能力3.良好的团队合作精神

目录03Web应用安全01Web安全起源02Web系统架构owasptop10目录

1.Web安全起源文件传输邮件服务打印机服务Windows系统RPC服务Linux系统ssh服务1.Web技术发展不成熟2.攻击系统服务可以获取高权限网络安全初期

1.Web安全起源静态页面CGI调用其他程序Web编程脚本语言框架横飞前段发展异步请求前端框架

1.Web安全起源数据关乎于企业的信誉和个人安全获取重要的敏感数据攻击用户的浏览器面向安全意识薄弱的用户Web安全的两个里程碑

目录03Web应用安全01Web安全起源02Web系统架构owasptop10目录

2.1Web系统架构B/S（即Broswer/Server）解决了C/S（Client/Server）所带来的不便，在C/S结构的情况下，不同的服务需要安装不同的客户端软件，比如QQ、迅雷、Foxmail这种情况下安装的软件会越来越多.B/S架构将所有的服务都可以通过浏览器来完成（因为基本所有浏览器都安装了浏览器）。但B/S也有一些不利，比如操作稳定性、流畅度等方面相对较弱。

2.1Web系统架构浏览器三大浏览器：Firefox、IE,chrome服务器Apache，iis，nginx数据库Mysql，SqlServer，Oracle等RequestResponseSQLResulthttp协议Sql命令支撑服务软件应用软件：tomcat，jboss等

2.2OWASPTOP10Owasp:开源web应用安全项目，是一个国际权威的安全社区。官方网址：10项最严重的web应用程序安全风险，这些数据包含了数以百计的组织和超过10万个应用程序和api中收集的漏洞，结合了可用性，可检测性和影响程度评估而成。

目录03Web应用安全01Web安全起源02Web系统架构owasptop10目录

4.Web应用安全Web应用安全体现：（1）Web协议安全（Http）（2）WEB服务器端安全问题（支撑软件、应用程序）（3）Web客户端（浏览器）

4.Web应用安全—http协议1.HTTP协议概述（1）http(超文本传输协议)，1990年提出来了，当前的版本是http1.1（2）http是一个请求和回应协议：客户端提出请求，服务器对请求给出回应。（3）http使用的是使用TCP协议进行连接，端口号是80（4）http请求方法（get，post，head，put，delete，option，trace）Get，明文传输，传输的数据显示在地址栏，最大传输为2kb，Post，密文传输，传输的数据没有限制。

4.Web应用安全—http协议2.http协议安全问题（1）信息泄漏（传输数据明文）（2）弱验证（会话双方没有严格认证机制）http1.1提供摘要访问认证机制，采用MD5将用户名、密码、请求包头等进行封装，但仍然不提供对实体信息的保护，无法有效解决信息泄露、数据篡改、重放攻击等安全问题（3）缺乏状态跟踪（请求响应机制决定http是一个无状态协议）Cookie+Session解决方案带来的安全问题

4.Web应用安全—http协议3.HTTP工作机制-请求响应模式3.1HTTP请求包含三个部分1.开始行：方法/URL协议/版本2.首部行：请求头部3.实体主体：请求正文（一般不用）3.2HTTP响应包含三个部分1.协议状态代码描述2.响应包头3.实体包请求正文…..

4.Web应用安全—http协议4.http请求数据结构（1）user_agent（简称UA）（2）X-Forwarded-For（主要是为了让web服务器获取访问用户的真实IP地址，未必真实，可以伪造）（3）Referer（表示从哪儿链接到服务器的网页）（4）Content-Type（定义网络文件的类型和网页的编码，用来程序间传送内容相关的编码信息）（5）Accept（代表发送端希望接收的数据类型）（6）Accept-Charset（编码）（7）Accept-Encoding（浏览器支持的压缩编码）（8）host（表示请求的服务器网址）（9）keep-Alive表示持久链接

4.Web应用安全—http协议5.http状态码分类当浏览器访问一个网页时，浏览器会向服务器发送请求，在浏览器接收并显示网页前，此页面所在的服务器会返回一个包含http状态码的信息头，用以响应浏览器的请求。HTTP状态码分类分类分类描述1**信息，服