1 web 工作机制
什么是WEB
- 万维网(World Wide web) , 是一个由许多互相链接的超文本文档组成的系统。
Web 的重要概念
- 资源: web 系统中对象称为资源
- URI: 统一资源标识符, 用于只一个资源( HTM L 文档、图像、视频片段、程序)。是一个相对服务器的地址例如 /aaa/bbb/1.php
- URL : 统一资源定位符( URI 的一个子集)。例如 http://www.baidu.com/aaa/bbb/1.php
- HTTP: 超文本传输协议, 用于传输资源, 使用者通过http 来获得资源。应用层协议。HTTPS
2 web站点架构
- 浏览器的作用:用户提交请求给服务器,将服务器返回的响应解析出来
- web服务器:接受用户请求,并给用户做出响应,Windows下有IIS ,Linux下有Apache、Nginx
- web应用:用php、jsp、asp、aspx等开发语言开发一个web应用程序(博客、购物网站等)。运行在服务器上
- 数据库:存储数据,数据库有一个接口,在应用程序中指定连接数据库的账户密码
- 中间件:举个例子,在Linux环境下,用Apache作为服务器想要运行一个Java程序,还需要Tomcat环境的支持,Tomcat就是一个中间件。目前Apache等服务器和中间件的区分越来越少,可以广泛理解为中间件是Apache、IIS、Nginx、Tomcat、Jboss的统称。
web架构中每一个地方都存在被攻击的可能
http明文的会被嗅探抓包,web服务器存在安全漏洞,数据库漏洞,最主要的web应用漏洞是写程序本身的漏洞(SQL注入、xss)。xss就是浏览器的漏洞,浏览网站时挂马,在网站服务器的页面中嵌入连接,链接在另一台服务器上会下载木马程序到客户端,浏览器有漏洞的话会自动执行。
3 web应用的层次
web应用CMS:文章管理系统不需要用户写代码 可以直接创建,搭建自己开源的博客(例如WordPress、discuz)
4 web安全问题
4.1web 服务端软件安全问题
- 服务支撑软件安全问题
- 软件自身安全漏洞
例: IIS5.0 超长URL拒绝服务漏洞
例: Unicode解码漏洞
- 软件配置缺陷
默认账号、口令
不安全的配置
例:IIS配置允许远程写入
4.2 web 程序安全问题
- 输入输出处理
- 会话控制
- 文件系统处理
- 用户访问机制
- 日志处理
4.3 WEB 浏览器安全问题
- web浏览器
- WEB 应用的客户端
- 展示网页供用户查看和支持用户操作
- lnternet Explorer 、Firefox 、Opera 和Safari 等
- 可能存在安全漏洞
- 基于Cookie 的攻击
- 可能存在软件配置缺陷