ku酷游官网-ku酷游网络股份有限公司

　　版权说明：本文档由用户提供并上传，收益归属内容提供方，若内容存在侵权，请进行举报或认领

　　项目1：Web应用安全基础项目目标知识目标1.了解web安全起源2.理解web体系结构3.掌握Web应用安全分析能力目标1.能对浏览器安全设置2.能对服务器安全配置情感目标1.自主、开放的学习能力2.良好的自我表现、与人沟通能力3.良好的团队合作精神目录03Web应用安全01Web安全起源02Web系统架构&owasptop10目录1.Web安全起源文件传输邮件服务打印机服务Windows系统RPC服务Linux系统ssh服务1.Web技术发展不成熟2.攻击系统服务可以获取高权限网络安全初期1.Web安全起源静态页面CGI调用其他程序Web编程脚本语言框架横飞前段发展异步请求前端框架1.Web安全起源数据关乎于企业的信誉和个人安全获取重要的敏感数据攻击用户的浏览器面向安全意识薄弱的用户Web安全的两个里程碑目录03Web应用安全01Web安全起源02Web系统架构&owasptop10目录2.1Web系统架构

　　B/S（即Broswer/Server）解决了C/S（Client/Server）所带来的不便，在C/S结构的情况下，不同的服务需要安装不同的客户端软件，比如QQ、迅雷、Foxmail这种情况下安装的软件会越来越多.B/S架构将所有的服务都可以通过浏览器来完成（因为基本所有浏览器都安装了浏览器）。但B/S也有一些不利，比如操作稳定性、流畅度等方面相对较弱。2.1Web系统架构浏览器三大浏览器：Firefox、IE,chrome服务器Apache，iis，nginx数据库Mysql，SqlServer，Oracle等RequestResponseSQLResulthttp协议Sql命令支撑服务软件应用软件：tomcat，jboss等2.2OWASPTOP10Owasp:开源web应用安全项目，是一个国际权威的安全社区。官方网址：10项最严重的web应用程序安全风险，这些数据包含了数以百计的组织和超过10万个应用程序和api中收集的漏洞，结合了可用性，可检测性和影响程度评估而成。目录03Web应用安全01Web安全起源02Web系统架构&owasptop10目录4.Web应用安全Web应用安全体现：（1）Web协议安全（Http）（2）WEB服务器端安全问题（支撑软件、应用程序）（3）Web客户端（浏览器）4.Web应用安全—http协议1.HTTP协议概述（1）http(超文本传输协议)，1990年提出来了，当前的版本是http1.1（2）http是一个请求和回应协议：客户端提出请求，服务器对请求给出回应。（3）http使用的是使用TCP协议进行连接，端口号是80（4）http请求方法（get，post，head，put，delete，option，trace）Get，明文传输，传输的数据显示在地址栏，最大传输为2kb，Post，密文传输，传输的数据没有限制。4.Web应用安全—http协议2.http协议安全问题（1）信息泄漏（传输数据明文）（2）弱验证（会话双方没有严格认证机制）http1.1提供摘要访问认证机制，采用MD5将用户名、密码、请求包头等进行封装，但仍然不提供对实体信息的保护，无法有效解决信息泄露、数据篡改、重放攻击等安全问题（3）缺乏状态跟踪（请求响应机制决定http是一个无状态协议）Cookie+Session解决方案带来的安全问题4.Web应用安全—http协议3.HTTP工作机制-请求响应模式3.1HTTP请求包含三个部分1.开始行：方法/URL协议/版本2.首部行：请求头部3.实体主体：请求正文（一般不用）3.2HTTP响应包含三个部分1.协议状态代码描述2.响应包头3.实体包请求正文…..4.Web应用安全—http协议4.http请求数据结构（1）user_agent（简称UA）（2）X-Forwarded-For（主要是为了让web服务器获取访问用户的真实IP地址，未必线）Referer（表示从哪儿链接到服务器的网页）（4）Content-Type（定义网络文件的类型和网页的编码，用来程序间传送内容相关的编码信息）（5）Accept（代表发送端希望接收的数据类型）（6）Accept-Charset（编码）（7）Accept-Encoding（浏览器支持的压缩编码）（8）host（表示请求的服务器网址）（9）keep-Alive表示持久链接4.Web应用安全—http协议5.http状态码分类当浏览器访问一个网页时，浏览器会向服务器发送请求，在浏览器接收并显示网页前，此页面所在的服务器会返回一个包含http状态码的信息头，用以响应浏览器的请求。HTTP状态码分类分类分类描述1**信息，服务器收到请求，需要请求者继续执行操作2**成功，操作被成功接收并处理3**重定向，需要进一步的操作以完成请求4**客户端错误，请求包含语法错误或无法完成请求5**服务器错误，服务器在处理请求的过程中发生了错误4.Web应用安全—服务器安全服务支撑软件安全问题软件自身安全漏洞例：IIS5.0超长URL拒绝服务漏洞软件配置缺陷默认账号、口令不安全的配置例：IIS配置允许远程写入应用软件安全问题4.Web应用安全—Apache安全配置ApacheHTTPServer（Apache），阿帕奇安全配置只安装所需要的组件隐藏Apahce版本不用root运行Apache禁用目录浏览设置每个连接的最大请求数建立专门错误页面勤打补丁194.Web应用安全—IIS安全设置20配置身份验证配置地址和域名访问规则配置SSL安全配置URL授权规则主目录及目录安全性（目录权限）日志安全文档和错误消息4.Web应用安全—IE安全配置清除浏览器数据21小结1.

　　web安全起源2.web体系结构3.Web应用安全分析作业1.安装IIS服务器，并做安全配置2.设置安全浏览器

　　1. 本站所有资源如无特殊说明，都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。

　　2. 本站的文档不包含任何第三方提供的附件图纸等，如果需要附件，请联系上传者。文件的所有权益归上传用户所有。

　　3. 本站RAR压缩包中若带图纸，网页内容里面会有图纸预览，若没有图纸预览就没有图纸。

　　5. 人人文库网仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对用户上传分享的文档内容本身不做任何修改或编辑，并不能对任何下载内容负责。

　　7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

　　第九单元课题3溶质的质量分数第二课时课件2025-2026学年九年级化学人教版下册

　　2026广西来宾市从“五方面人员”中选拔乡镇领导班子成员69人笔试备考试题及答案解析

　　第6课 爱护动植物 第二课时 课件（内置视频）-2025-2026学年道德与法治二年级下册统编版

　　2026四川广安市邻水县招聘县属国有企业领导人员4人笔试备考试题及答案解析

　　CESA-2022-031《电子信息设备用液冷冷板技术规范》团体标准（征求意见稿）编制说明

　　本站为文档C2C交易模式，即用户上传的文档直接被用户下载，本站只是中间服务平台，本站所有文档下载所得的收益归上传人(含作者)所有。人人文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私，请立即通知人人文库网，我们立即给予删除！

　　15.《我与地坛》课件 -2024-2025学年统编版高一语文必修上册

　　2025年江苏省淮安市洪泽县数学四年级第二学期期末质量检测模拟试题含解析

　　2024-2025学年赣州市寻乌县四年级数学第二学期期末联考试题含解析

　　湖南三一工业职业技术学院《体育教学技能》2023-2024学年第二学期期末试卷