第四章web安全 知识 ●服务器安全 ●浏览器安全 难点: ●服务器安全策略 ●浏览器安全策略 内容 ●服务器安全策略 ●浏览器安全问题 ●服务器安全问题 2021年2月21日星期日 Web安全 12时22分47秒
2021年2月21日星期日 12时22分47秒 Web安全 1 第四章 web安全 知 识 点: ● 服务器安全 ● 浏览器安全 难 点: ● 服务器安全策略 ● 浏览器安全策略 内容: ● 服务器安全策略 ● 浏览器安全问题 ● 服务器安全问题
第1节Web技术简介 Web又称 World Wide Web(万维网),其基本结构是采用开放式的客 户/服务器结构( Client/Server),分成服务器端、客户接收端以 及传输规程三个部分 服务器规定传输设定、信息传输格式和服务器本身的开放式结构 客户机统称浏览器,用于向服务器发送资源索取请求,并将接收 到的信息进行解码和显示; 通信协议是web浏览器与服务器之间进行通讯传输的规范。 ●2021年2月21日星期日 Web安全 12时22分47秒
2021年2月21日星期日 12时22分47秒 Web安全 2 第1节 Web技术简介 Web又称World Wide Web(万维网),其基本结构是采用开放式的客 户/服务器结构(Client/Server),分成服务器端、客户接收端以 及传输规程三个部分. 服务器规定传输设定、信息传输格式和服务器本身的开放式结构 客户机统称浏览器,用于向服务器发送资源索取请求,并将接收 到的信息进行解码和显示; 通信协议是Web浏览器与服务器之间进行通讯传输的规范
4.1.1HTTP协议 HTTP(HyperTextTransferProtocol,超文本传输协议)协议是分 布式的Web应用的核心技术协议,在TCPP协议栈中属于应用层。 它定义Web浏览器向Web服务器发送索取Web页面请求格式以及 Web页面在 Internet上的传输方式。 HTTP协议一直在不断的发展和完善 了解HTTP的工作过程,可以更好地监测Web服务器对Web浏览器 的响应,对于Web的安全管理非常有用。一般情况下,Web服务 器在80端口等候Web浏览器的请求;web浏览器通过3次握手与服 务器建立TCPP连接,然后Web浏览器通过类似如下简单命令向 服务器发送索取页面的请求 GET/dailynews. html 服务器则以相应的文件为内容响应Web浏览器的请求。 ●2021年2月21日星期日 Web安全 12时22分47秒
2021年2月21日星期日 12时22分47秒 Web安全 3 4.1.1 HTTP协议 HTTP(HyperText Transfer Protocol,超文本传输协议)协议是分 布式的Web应用的核心技术协议,在TCP/IP协议栈中属于应用层。 它定义Web浏览器向Web服务器发送索取Web页面请求格式以及 Web页面在Internet上的传输方式。 HTTP协议一直在不断的发展和完善。 了解HTTP的工作过程,可以更好地监测Web服务器对Web浏览器 的响应,对于Web的安全管理非常有用。一般情况下,Web服务 器在80端口等候Web浏览器的请求;Web浏览器通过3次握手与服 务器建立TCP/IP连接,然后Web浏览器通过类似如下简单命令向 服务器发送索取页面的请求: – GET/dailynews.html 服务器则以相应的文件为内容响应Web浏览器的请求
4.1.2HTML语言与其他web编程语言 Web的特点决定了Web的内容必须能够以适当的形式来组织和安 排,使得它在各种平台上的web浏览器上能够得到正确的解释, 并具有丰富层次的界面,如文本、图形图像和连接等应该具有不 同的诠释和显示。 HTML( Hyper Text Markup Language,超文本标识语言)语言的 出现解决了页面作者定制网页总体轮廓的问题,用文本语言的方 式实现了Web内容和存储上的统一。 2021年2月21日星期日 Web安全 12时2分47秒
2021年2月21日星期日 12时22分47秒 Web安全 4 4.1.2 HTML语言与其他Web编程语言 Web的特点决定了Web的内容必须能够以适当的形式来组织和安 排,使得它在各种平台上的Web浏览器上能够得到正确的解释, 并具有丰富层次的界面,如文本、图形图像和连接等应该具有不 同的诠释和显示。 HTML(Hyper Text Markup Language,超文本标识语言)语言的 出现解决了页面作者定制网页总体轮廓的问题,用文本语言的方 式实现了Web内容和存储上的统一
4.1.2HTML语言与其他Web编程语言 HTML几乎为所有常见的web浏览器所支持。Web浏览器在得到 Web页面之后,根据HTML语言的标记来决定页面的层次结构和 显示格式,并且可以通过URL( Universal resource locator)来实 现web页面的连接和跳转。对用户而言则是透明的 支持图像、动画和声音等多媒体内容的嵌入,即所谓 HyperMedia HTML中可以包括层叠式样表CSS( Cascading Style Sheets) CSS属于一种式样设计模板( Design Templates)。它能够帮助用 户控制HIM元素的呈现方式和轮廓,将HTML的内容制作和式 样设计分开 ●2021年2月21日星期日 Web安全 12时22分47秒
2021年2月21日星期日 12时22分47秒 Web安全 5 4.1.2 HTML语言与其他Web编程语言 HTML几乎为所有常见的Web浏览器所支持。Web浏览器在得到 Web页面之后,根据HTML语言的标记来决定页面的层次结构和 显示格式,并且可以通过URL(Universal Resource Locator)来实 现Web页面的连接和跳转。对用户而言则是透明的。 支持图像、动画和声音等多媒体内容的嵌入,即所谓HyperMedia。 HTML中可以包括层叠式样表CSS(Cascading Style Sheets)。 CSS属于一种式样设计模板(Design Templates)。它能够帮助用 户控制HTML元素的呈现方式和轮廓,将HTML的内容制作和式 样设计分开
4.1.3web服务器 Internet上众多的Web服务器汇集了大量的信息,web服务器的作 用就是管理这些文档,处理用户发来的各种请求,将满足用户要 求的信息返回给用户。 本质上来说,Web服务器是驻留在服务器上的一个程序,通过 Web浏览器与用户交互操作,为用户提供兴趣信息 2021年2月21日星期日 Web安全 12时2分47秒
2021年2月21日星期日 12时22分47秒 Web安全 6 4.1.3 Web服务器 Internet 上众多的Web服务器汇集了大量的信息,Web服务器的作 用就是管理这些文档,处理用户发来的各种请求,将满足用户要 求的信息返回给用户。 本质上来说,Web服务器是驻留在服务器上的一个程序,通过 Web浏览器与用户交互操作,为用户提供兴趣信息
4.1.4Web浏览器 Web浏览器是阅读Web上的信息的客户端的软件。如果用户在本 地机器上安装了Web浏览器软件,就可以读取Web上的信息了 Web浏览器在网络上与Web服务器打交道,从服务器上下载和获 取文件。 Web浏览器有多种,他们都可以浏览Web上的内容,只不过所支 持的协议标准以及功能特性各有异同罢了。绝大部分的浏览器都 运用了图形用户界面。目前常用的有: Netscape Navigator, Netscape Communicator, Microsoft Internet Explorer、 Opera, Mosaic和Lynx等等。 Netscape的浏览器几乎可以在所有的平台上运行,而且具有创意 Microsoft Internet Explorer则是Web浏览器市场的霸主。 ●2021年2月21日星期日 Web安全 12时22分47秒
2021年2月21日星期日 12时22分47秒 Web安全 7 4.1.4 Web浏览器 Web浏览器是阅读Web上的信息的客户端的软件。如果用户在本 地机器上安装了Web浏览器软件,就可以读取Web上的信息了。 Web浏览器在网络上与Web服务器打交道,从服务器上下载和获 取文件。 Web浏览器有多种,他们都可以浏览Web上的内容,只不过所支 持的协议标准以及功能特性各有异同罢了。绝大部分的浏览器都 运用了图形用户界面。目前常用的有: – Netscape Navigator、Netscape Communicator、Microsoft Internet Explorer、Opera , Mosaic 和Lynx等等。 Netscape 的浏览器几乎可以在所有的平台上运行,而且具有创意. Microsoft Internet Explorer则是Web浏览器市场的霸主
4.1.5公共网关接口介绍 CGI,指的是公共网关接口( Common Gateway Interface) 是Web信息服务器与外部应用程序之间交换数据的标准接口。 功能 收集从web浏览器发送给Web服务器的信息,并且把这些信息传送给 外部程序 把外部程序的输出作为Web服务器对发送信息的Web浏览器的响应, 发送给该Web浏览器 web服务器真正实现了与Web浏览器用户之间的交互。比如 收集用户意见和建议; 根据用户要求,从服务器上的数据库中提取相关信息并回传给用户 为用户创建动态的图表。如股票市场的动态走势图等。 2021年2月21日星期日 Web安全 12时2分47秒
2021年2月21日星期日 12时22分47秒 Web安全 8 4.1.5 公共网关接口介绍 CGI,指的是公共网关接口(Common Gateway Interface ) 是Web信息服务器与外部应用程序之间交换数据的标准接口。 1.功能 – 收集从Web浏览器发送给Web服务器的信息,并且把这些信息传送给 外部程序; – 把外部程序的输出作为Web服务器对发送信息的Web浏览器的响应, 发送给该Web浏览器。 Web服务器真正实现了与Web浏览器用户之间的交互。比如:: – 收集用户意见和建议; – 根据用户要求,从服务器上的数据库中提取相关信息并回传给用户; – 为用户创建动态的图表。如股票市场的动态走势图等
4.1.5公共网关接口介绍 2.CGI的工作原理 在HIML文件中,表单(Form)与CG程序配合使用,共同来完 成信息交流的目的。一般过程是 (1)用户用Web浏览器提交表单登录; (2)Web浏览器发送登录请求到Web服务器; (3)web服务器分析Web浏览器送来的数据包,确认是CGI请求, 于是通过CG将表单数据按照一定格式送给相应的CG应用程序; (4)CGI应用程序对数据处理,验证,将动态生成的页面发送给 Web服务器 (5)Web服务器把CGI应用程序东来的页面发送给请求登录的 Web浏览器; (6)Web浏览器接收到,并解释、显示页面。 2021年2月21日星期日 Web安全 12时2分47秒
2021年2月21日星期日 12时22分47秒 Web安全 9 4.1.5 公共网关接口介绍 2. CGI的工作原理 在HTML文件中,表单(Form)与CGI程序配合使用,共同来完 成信息交流的目的。一般过程是: (1) 用户用Web浏览器提交表单登录; (2) Web浏览器发送登录请求到Web服务器; (3) Web服务器分析Web浏览器送来的数据包,确认是CGI请求, 于是通过CGI将表单数据按照一定格式送给相应的CGI应用程序; (4) CGI应用程序对数据处理,验证,将动态生成的页面发送给 Web服务器; (5) Web服务器把CGI应用程序东来的页面发送给请求登录的 Web浏览器; (6) Web浏览器接收到,并解释、显示页面
4.1.5公共网关接口介绍 3.CGI的与服务器的交互关系 web浏览器向web服务器提交表单数据通常有两种方式 (1)Post方式。Web服务器通过标准输入方式把数据转交CGI应 用程序。数据处理完毕后,将结果输出到标准输岀既可以为web 服务器所接收 (2)Get方式。在UNIX类的系统中,web服务器通过环境变量来 把数据转交CGI应用程序的。 ●2021年2月21日星期日 Web安全 12时22分47秒
2021年2月21日星期日 12时22分47秒 Web安全 10 4.1.5 公共网关接口介绍 3. CGI的与服务器的交互关系 Web浏览器向Web服务器提交表单数据通常有两种方式: (1) Post方式。Web服务器通过标准输入方式把数据转交CGI应 用程序。数据处理完毕后,将结果输出到标准输出既可以为Web 服务器所接收。 (2) Get方式。在UNIX类的系统中,Web服务器通过环境变量来 把数据转交CGI应用程序的