Web安全攻防实战教程_课件 第一章、Web安全概述.pptxVIP

Web安全概述

从漏洞分析到防御实践;

目录

01Web安全技术体系概述

OWASPTop102025详解

05TCP/IP、HTTP与HTTPS基础

07信息收集技术

致谢;

品技术体系框架

山漏洞分析：识别潜在威胁

防御手段：从设计到运行的全流程防护

基础协议：TCP/IP、HTTP/HTTPS的安全机制

实践工具：渗透测试与防御工具链;

逻辑漏洞

业务流程设计缺陷(如支付、权限控制)

漏洞影响

A数据泄露

A权限提升

A系统被控制;

失效的访问控制

未经授权访问敏感数据，案例：普通用户查看其他用户数据

2.安全配置错误

云端环境配置不当，案例：公开可读的云存储

3.软件供应链故障

第三方组件漏洞(如Log4Shell),案例：通过开源组件控制服务器

4.加密机制失效

未使用HTTPS,案例：明文传输导致数据窃取;

OWASPTop102025详解(下)

05注入

未过滤用户输入，案例：SQL注入获取数据库信息

06不安全的设计

缺乏威胁建模，案例：身份鉴权机制缺陷

07认证和授权失败

弱密码、会话超时不当，案例：关闭浏览器后仍保持登录;

01安全标准研发

遵循ISO27001、GB/T32914等标准

03Web应用防火墙(WAF)

过滤恶意HTTP流量，防护SQL注入、XSS等

05运行时保障

及时补丁更新，日志监控与告警;

TCP/IP协议基础

TCP/IP协议族

四层架构：应用层、传输层、网络层、数

据链路层

核心协议：TCP(可靠传输)、IP(路由

转发)

TCP头部核心字段

|源/目的端口、序列号、ACK标志位、

SYN/FIN标志位

IP头部核心字段

IP版本、TTL(生存时间)、源/目的IP

地址;

HTTP特点

无连接、无状态，默认端口80

请求方法：GET、POST、PUT、DELETE等

状态码：200(成功)、404(未找到)、500(服务器错误);

环境部署与工具介绍;;

信息收集技术(上)

Web站点信息获取

山WHOIS查询：域名注册信息、DNS服务器

QSEO综合查询：备案信息、IP地址;

信息收集技术(下)

Nmap扫描

主机发现、端口扫描、服务版本检测、操作系统识别;

总结与展望

总结

①Web安全是全生命周??的防护体系

山漏洞分析与防御手段需结合实践

展望

非人工智能在威胁检测中的应用品零信任架构的普及

①软件供应链安全的强化;

感谢聆听!