《信息安全技术基础》课件 6.1Web安全.pptx

第六单元Web安全攻防技术

主要内容任务1Web安全

任务1Web安全奇威公司已经正式上线运行的Web应用系统包括对外的门户网站系统和网络审批系统，对内的内网办公系统等业务系统。最近，网络上经常爆出一些企业被非法人员从Web应用系统攻入企业，窃取企业重要数据，给企业和个人造成了严重影响。奇威公司希望小卫给公司应用开发部门和运维部门等相关人员进行一次Web安全技术的培训，增强大家对Web安全技术的认识，增强Web安全意识。【任务情境】

任务1Web安全（1） HTTP/HTTPS协议HTTP协议是TCP/IP应用层协议集合中一个应用协议，即超文本传输协议(Hypertexttransferprotocol)。是一种详细规定了客户端的浏览器和万维网(WWW=WorldWideWeb)服务器之间互相通信的规则，通过因特网传送万维网文档的数据传送协议。在Internet中所有的传输都是通过TCP/IP进行的。Http协议属于应用层协议，HTTP链接是建立在传输层TCP协议基础之上的，当浏览器需要从WEB服务器获取网页数据的时候，客户端会和WEB服务器先请求建立连接，客户端Http会通过TCP建立起一个到服务器的连接通道，当本次请求需要的数据完毕后，Http会立即将TCP连接断开。HTTP协议传输的数据都是未加密的，由于是未加密的，传输数据都是明文形式，存在极大安全隐患，为了保证这些隐私数据能加密传输，于是设计了SSL（SecureSocketsLayer）协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS，因此可以简单理解HTTPS就是HTTP下加入SSL层。【知识准备】

任务1Web安全（2） B/S架构和C/S架构B/S架构即浏览器和服务器结构。它是随着Internet技术的兴起一个应用架构，在这种结构下，在用户端的工作界面是通过浏览器来实现。C/S结构，即大家熟知的客户机和服务器结构。它是软件系统体系结构，通过它可以充分利用两端硬件环境的优势，将任务合理分配到Client端和Server端来实现，降低了系统的通讯开销。实际上，B/S架构就是浏览器应用，C/S架构就是客户端应用，当然应用需要服务器配合，像腾讯就是以C/S结构起家的，其旗下的QQ这一软件就是典型的C/S结构应用，像Facebook就是以B/S为结构的。B/S结构的好处就是方便，不跨平台性好，真正的实现了一次开发，处处运行。C/S结构以其稳定安全著称，降低了通讯代价，但是实现起来麻烦，需要开发服务器和客户端两套系统并且在不同的平台移植起来非常麻烦。所以现在大多应用都是以B/S模式来开发。【知识准备】

任务1Web安全（3） 静态网站和动态网站的区别与联系静态网站是最初的建站方式，浏览者所看到的每个页面是建站者上传到服务器上的一个html（htm）文件，这种网站每增加、删除、修改一个页面，都必须重新对服务器的文件进行一次下载上传。网页内容一经发布到网站服务器上，无论是否有用户访问，每个静态网页的内容都是保存在网站服务器上的，也就是说，静态网页是实实在在保存在服务器上的文件，每个网页都是一个独立的文件。静态网页的内容相对稳定，因此容易被搜索引擎检索。静态网页没有数据库的支持，在网站制作和维护方面工作量较大，因此当网站信息量很大时完全依靠静态网页制作方式比较困难。静态网页的交互性较差，在功能方面有较大的限制。静态网站的设计架构一般如下图。【知识准备】图6-1静态网站

任务1Web安全“动态网站”，并不是指网页上简单的GIF动态图片或是Flash动画，动态网站的网页会根据用户的要求和选择而动态地改变和响应，浏览器作为客户端，成为一个动态交流的桥梁，动态网页的交互性也是今后Web发展的潮流。动态网站无须手动更新HTML文档，便会自动生成新页面，可以大大节省工作量，且当不同时间、不同用户访问同一网址时会出现不同页面。动态网站在页面里嵌套了程序，这种网站对一些框架相同，更新较快的信息页面进行内容与形式的分离，将信息内容以记录的形式存入了网站的数据库中，以便于网站各处的调用，而网站服务器和数据库之间的信息传递，也给了攻击者可乘之机。动态网站的设计架构一般如下图。【知识准备】图6-2动态网站

任务1Web安全卫通过上面的学习，了解了网络协议、网络架构、网站建站方式等基本概念，作为安全运维人员，他需要从安全技术的角度去分析，Web网站存在的安全隐患和风险，因此他准备通过WEB扫描软件，查看WEB服务存在的安全隐患。步骤1：首先打开IBMSecurityAppScanStandard，如下图所示：【任务实施】图6-3打开软件

任务1Web安全步骤2：点击文件—新建，如下图所示。【任务实施】图6-4