第一章 Web系统安全概述
了解Web系统安全现状,理解Web网站系统结构和Web安全漏洞分析。
1.1 Web系统安全现状
现状堪忧,一大半处于危险状态中。
1.2 Web网站系统结构
1.2.1 静态网站
一般不具备交互功能,如登录等。
1.2.2 动态网站
可以登录,需要与数据库建立连接,通常包含服务器端脚本程序(ASP/JSP/PHP等)。
1.2.3 Web服务器
IIS(简单易用功能多)/APACHE(老牌开源)/NGINX(年轻高并发)/WEBLOGIC(大型分布式JAVA应用)
1.3 Web安全漏洞
1.3.1 应用系统安全漏洞
软件漏洞(代码缺陷)、结构漏洞(网络防护不足)、配置漏洞、管理漏洞(弱口令、撞库等)。
1.3.2 Web漏洞类型
OWASP 2007 TOP10(注入、失效身份认证、XSS、失效访问控制、安全配置错误、
敏感信息泄露、攻击检测不足、CSRF、使用弱点组件、未受保护的API。
1.3.3 Web系统安全技术
安全漏洞检测、WAF技术为重点,以及其他的防火墙系统、IPS、IDS、安全审计系统。
1.4 Web安全威胁前沿趋势
不正当的公开个人信息,勒索病毒,挖矿木马,反人工检测技术(挂黑链等),
物联网威胁挑战,Weblogic反序列化漏洞攻击。
思考题
1.简述Web系统的安全现状
答:互联网的Web应用越来越广泛,所有网站中66%有漏洞,有漏洞的网站中47%是高危漏洞。
2.根据Web网站的性质和系统架构,通常将Web网站分为静态网站和动态网站两种。
请描述静态网站和动态网站的相同点和不同点。
答:前者通常不带数据库,后者带数据库。前者是2层结构,后者通常是3层结构,
比如表现层业务层数据层。
3.简述ASP、JSP、PHP常见的服务器端脚本程序概念。
答:ASP是英文动态服务器页面的首字母缩写。
JSP是英文Java服务器页面的首字母缩写。
PHP是英文超文本预处理的简写,也可以理解成个人主页的首字母缩写。
ASP是微软的技术,JSP是Sun公司的跨平台网页开发技术,sun现已被oracle收购。
PHP是开源社区维护的技术。
4.Web应用系统安全漏洞大致包含哪几类?
答:软件漏洞,系统漏洞,配置漏洞,管理漏洞。
5.OWASP在2017年公布的十大安全漏洞是什么?
答:使用带弱点的组件、跨站脚本攻击、失效的访问控制、敏感信息泄露、注入攻击、
攻击检测能力不足、安全配置错误、未受保护的API、失效的身份认证、跨站请求伪造。
6.常见的Web系统安全技术
答:应用防火墙、入侵检测系统、入侵防御系统、硬件防火墙、漏洞扫描系统、
安全审计系统、防病毒软件。较所有技术中漏洞检测和WAF技术为热点。
7.Nginx如何防御慢连接攻击?
答:https://www.cnblogs.com/52py/p/10931089.html
