WEB应用安全最佳实践信息安全检查.ppt

WEB应用安全培训  内容 所使用的资源: Web 应用基础概念 我们当前的安全手段 神话: “我们的网站是安全的” 您的应用安全吗？ WEB应用安全的现状: 不平衡的投资和回报 内容 什么是Web应用？ Web应用 VS Web网站 没有确切的定义 细小的区别 Web site 一般提供静态的信息，供访问浏览 不提供用户输入，或者用户的简单输入不影响网站的业务 Web application 部署在Web网站上 提供用户输入功能，用户的输入会影响网站的功能 Web服务器经常和后台的服务器交互，如应用服务器，数据库服务器等 Web 应用的组成架构 Client tier （客户端） 经常是WEB浏览器，如IE,FireFox等 提供对 HTML 的解析和展示 也经常包括一些客户端解析技术，如脚本等 Java?Script ActiveX Dynamic HTML 供用户输入，并展现返回的输出页面内容 Client tier: HTML (Hypertext Markup Language) 一种文本格式的信息 包含标签，属性，值等内容 一个HTML页面经常包括众多标签，每个标签都单独解析 很多的注入攻击都是寻求改变当前的HTML 内容或者是增加新的内容 Client tier: Scripting 客户端的脚本经常有如下的作用: 实现用户和网站之间的交互 检查用户输入，并进行过滤 提交用户输入到服务器 触发客户端检验程序，如 　　ActiveX等 Middle tier: 表现层 产生并展现WEB网页 Apache IIS etc. 也可以产生动态动容 Active Server Pages (ASP) Java? Server Pages (JSP) Perl Hypertext Pre-processor (PHP) CGI/ Perl scripts 可以是应用服务器的一部分 Websphere Middle tier: 业务逻辑层 实现业务逻辑功能 经常包括众多的技术，如 J2EE .NET Others (Cold Fusion, PHP, etc.) Data tier　数据层 最后台的一层服务器，存储数据 管理数据 经常是企业级别的关系型数据库，如 Microsoft SQL Server Oracle DB2 Sybase, MySQL, etc. 页面地址的组成(网址) Uniform Resource Locator (URL) 实例: :80/products/appscan/default.aspx?articleId=4 http:// – protocol (HTTPS, FTP, Gopher, file) – host name :80 – port () /products/appscan/default.aspx – 文件地址路径 数据也可以包含在路径中, 如“?” 以后的内容就是采用 QUERY 方法传递的数据 特别注意: 发送到WEB服务器的数据会被进行编码，编码为特定的格式；因为网址里面不允许包含特殊字符，如空格，换行符等；通用的编码格式类似%HH space - %20 “ - %22 ( - %28 HTML forms（HTML 表单） HTTP: Hypertext Transfer Protocol HTTP 是 Web 应用的客户端和服务器端交互最经常使用的协议 Versions: 0.9, 1.0, 1.1 RFCs: 1945, 2068, 2616 Describes the “language” used by browsers and Web servers（浏览器和服务器之间通讯的共同语言） HTTP request/response 例子 HTTP request methods (最常用的HTTP 请求方法) GET: retrieve a document（请求信息） HEAD: retrieve header information（请求头信息） POST: send data to the server（发送数据到服务器） PUT, DELETE: store an entity-body at the URL, and delete a URL（保存，修改实体信息） TRACE: 允许客户端察看传输过程，经常用于调试． HTTP response codes　 1XX: 警告信息. 可以继续． 2XX: 请求得到成功响应. 客户端的请求被成功接收，处理和理解 3XX:重定向. 被指向了其他的页面． 4XX: Client Error.　客户端错误，如404表示网页找不到,401表示客户端端权限不够 5XX: