1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. Web服务
网站大量收购独家精品文档,联系QQ:2885784924

web应用与安全防护-教案全套 金京犬 1--32 1.1 web安全系统架构 --- 实践18:文件管理系统渗透测试报告.doc

web应用与安全防护-教案全套 金京犬 1--32 1.1 web安全系统架构 --- 实践18:文件管理系统渗透测试报告.doc

    1. 1、本文档共150页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    /学年第学期

    教案

    课程名称:Web应用安全与防护

    课程代码:

    任课教师:计算机系

    教务处印制

    课次

    1

    课程类型

    理论

    项目(模块)

    项目1:WEB安全基础

    任务1.1web安全系统架构

    教学目标

    知识目标

    1.了解web安全起源

    2.理解web体系结构

    3.掌握Web应用安全分析

    能力目标

    1.能对浏览器安全设置

    2.能对服务器安全配置

    情感目标

    1.自主、开放的学习能力

    2.良好的自我表现、与人沟通能力

    3.良好的团队合作精神

    教学重点

    浏览器安全设置

    服务器安全配置

    教学难点

    服务器安全配置

    教学方法

    演示法

    教学环境

    线上

    授课日期

    2021/3/1

    授课班级

    19信息安全与管理

    教学过程设计

    课前准备

    通过QQ群发布授课PPT,视频

    教学内容

    web安全起源

    Web系统架构owasptop10

    2.1Web体系架构

    B/S(即Broswer/Server)解决了C/S(Client/Server)所带来的不便,在C/S结构的情况下,不同的服务需要安装不同的客户端软件,比如QQ、迅雷、Foxmail这种情况下安装的软件会越来越多.

    B/S架构将所有的服务都可以通过浏览器来完成(因为基本所有浏览器都安装了浏览器)。

    但B/S也有一些不利,比如操作稳定性、流畅度等方面相对较弱。

    Owasp:开源web应用安全项目,

    是一个国际权威的安全社区。

    官方网址:

    10项最严重的web应用程序安全风险,

    这些数据包含了数以百计的组织和

    超过10万个应用程序和api中收集的

    漏洞,结合了可用性,可检测性和

    影响程度评估而成。

    3.Web应用安全

    Web应用安全体现:

    (1)Web协议安全(Http)

    (2)WEB服务器端安全问题(支撑软件、应用程序)

    (3)Web客户端(浏览器)

    1.HTTP协议概述

    (1)http(超文本传输协议),1990年提出来了,当前的版本是http1.1

    (2)http是一个请求和回应协议:客户端提出请求,服务器对请求给出回应。

    (3)http使用的是使用TCP协议进行连接,端口号是80

    (4)http请求方法(get,post,head,put,delete,option,trace)

    Get,明文传输,传输的数据显示在地址栏,最大传输为2kb,

    Post,密文传输,传输的数据没有限制。

    2.http协议安全问题

    (1)信息泄漏(传输数据明文)

    (2)弱验证(会话双方没有严格认证机制)

    http1.1提供摘要访问认证机制,采用MD5将用户名、密码、请求包头等进行封装,但仍然不提供对实体信息的保护,无法有效解决信息泄露、数据篡改、重放攻击等安全问题

    (3)缺乏状态跟踪(请求响应机制决定http是一个无状态协议)

    Cookie+Session解决方案带来的安全问题

    3.HTTP工作机制-请求响应模式

    3.1HTTP请求包含三个部分

    1.开始行:方法/URL协议/版本

    2.首部行:请求头部

    3.实体主体:请求正文(一般不用)

    3.2HTTP响应包含三个部分

    1.协议状态代码描述

    2.响应包头

    3.实体包

    4.http请求数据结构

    (1)user_agent(简称UA)

    (2)X-Forwarded-For(主要是为了让web服务器获取访问用户的真实IP地址,未必真实,可以伪造)

    (3)Referer(表示从哪儿链接到服务器的网页)

    (4)Content-Type(定义网络文件的类型和网页的编码,用来程序间传送内容相关的编码信息)

    (5)Accept(代表发送端希望接收的数据类型)

    (6)Accept-Charset(编码)

    (7)Accept-Encoding(浏览器支持的压缩编码)

    (8)host(表示请求的服务器网址)

    (9)keep-Alive表示持久链接

    5.http状态码分类

    当浏览器访问一个网页时,浏览器会向服务器发送请求,在浏览器接收并显示网页前,此页面所在的服务器会返回一个包含http状态码的信息头,用以响应浏览器的请求。

    服务支撑软件安全问题

    软件自身安全漏洞

    例:IIS5.0超长URL拒绝服务漏洞

    软件配置缺陷

    默认账号、口令

    不安全的配置

    例:IIS配置允许远程写入

    应用软件安全问题

    ApacheHTTPServer(Apache),阿帕奇

    安全配置

    只安装所需要的组件

    隐藏Apahce版本

    不用root运行Apache

    禁用目录浏览

    设置每个连接的最大请求数

    建立专门错误页面

    勤打补丁

    练习与

    作业

    1.安装IIS服务器,并做安全配置

    2.设置安全浏览器

    课后反思

    第一次接触web安全,设计的内容比较多,怎么样让学生对这门课程感兴趣?

    您可能关注的文档

    最近下载

    文档评论(0)

    lai + 关注
    实名认证
    内容提供者

    精品资料

    咨询Ta 进入空间
    版权声明书
    用户编号:7040145050000060

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >