web安全威胁分析与应对.ppt

Web安全 第四章 web安全 知 识 点： ● 服务器安全 ● 浏览器安全 难 点： ● 服务器安全策略 ● 浏览器安全策略 内容： ● 服务器安全策略 ● 浏览器安全问题 ● 服务器安全问题 第1节 Web技术简介 Web又称World Wide Web(万维网)，其基本结构是采用开放式的客户/服务器结构（Client/Server），分成服务器端、客户接收端以及传输规程三个部分. 服务器规定传输设定、信息传输格式和服务器本身的开放式结构 客户机统称浏览器，用于向服务器发送资源索取请求，并将接收到的信息进行解码和显示； 通信协议是Web浏览器与服务器之间进行通讯传输的规范。 4.1.1 HTTP协议 HTTP（HyperText Transfer Protocol，超文本传输协议）协议是分布式的Web应用的核心技术协议，在TCP/IP协议栈中属于应用层。它定义Web浏览器向Web服务器发送索取Web页面请求格式以及Web页面在Internet上的传输方式。 HTTP协议一直在不断的发展和完善。 了解HTTP的工作过程，可以更好地监测Web服务器对Web浏览器的响应，对于Web的安全管理非常有用。一般情况下，Web服务器在80端口等候Web浏览器的请求；Web浏览器通过3次握手与服务器建立TCP/IP连接，然后Web浏览器通过类似如下简单命令向服务器发送索取页面的请求： GET/dailynews.html 服务器则以相应的文件为内容响应Web浏览器的请求。 4.1.2 HTML语言与其他Web编程语言 Web的特点决定了Web的内容必须能够以适当的形式来组织和安排，使得它在各种平台上的Web浏览器上能够得到正确的解释，并具有丰富层次的界面，如文本、图形图像和连接等应该具有不同的诠释和显示。 HTML（Hyper Text Markup Language，超文本标识语言）语言的出现解决了页面作者定制网页总体轮廓的问题，用文本语言的方式实现了Web内容和存储上的统一。 4.1.2 HTML语言与其他Web编程语言 HTML几乎为所有常见的Web浏览器所支持。Web浏览器在得到Web页面之后，根据HTML语言的标记来决定页面的层次结构和显示格式，并且可以通过URL（Universal Resource Locator）来实现Web页面的连接和跳转。对用户而言则是透明的。 支持图像、动画和声音等多媒体内容的嵌入，即所谓HyperMedia。 HTML中可以包括层叠式样表CSS（Cascading Style Sheets）。CSS属于一种式样设计模板（Design Templates）。它能够帮助用户控制HTML元素的呈现方式和轮廓，将HTML的内容制作和式样设计分开。 4.1.3 Web服务器 Internet 上众多的Web服务器汇集了大量的信息，Web服务器的作用就是管理这些文档，处理用户发来的各种请求，将满足用户要求的信息返回给用户。 本质上来说，Web服务器是驻留在服务器上的一个程序，通过Web浏览器与用户交互操作，为用户提供兴趣信息。 4.1.4 Web浏览器 Web浏览器是阅读Web上的信息的客户端的软件。如果用户在本地机器上安装了Web浏览器软件，就可以读取Web上的信息了。 Web浏览器在网络上与Web服务器打交道，从服务器上下载和获取文件。 Web浏览器有多种，他们都可以浏览Web上的内容，只不过所支持的协议标准以及功能特性各有异同罢了。绝大部分的浏览器都运用了图形用户界面。目前常用的有： Netscape Navigator、Netscape Communicator、Microsoft Internet Explorer、Opera , Mosaic 和Lynx等等。 Netscape 的浏览器几乎可以在所有的平台上运行，而且具有创意. Microsoft Internet Explorer则是Web浏览器市场的霸主。 4.1.5 公共网关接口介绍 CGI，指的是公共网关接口（Common Gateway Interface ） 是Web信息服务器与外部应用程序之间交换数据的标准接口。 1．功能 收集从Web浏览器发送给Web服务器的信息，并且把这些信息传送给外部程序； 把外部程序的输出作为Web服务器对发送信息的Web浏览器的响应，发送给该Web浏览器。 Web服务器真正实现了与Web浏览器用户之间的交互。比如:： 收集用户意见和建议； 根据用户要求，从服务器上的数据库中提取相关信息并回传给用户； 为用户创建动态的图表。如股票市场的动态走势图等。 4.1.5 公共网关接口介绍 2． CGI的工作原理 在HTML文件中，表单（Form）与CGI程序配合使用，共同来完成