1ウェブワーキングメカニズム
WEBは何ですか
-ワールド・ワイド・ウェブ(ワールドワイドウェブ)、それは構成多くの相互リンクされたハイパーテキスト文書で構成されるシステムです。
重要な概念のウェブ
-リソース:Webシステムは、リソースと呼ばれるオブジェクト
- URI:一つだけのリソース(HTM Lの文書、画像、ビデオクリップ、プログラム)のための統一資源識別子。このような/aaa/bbb/1.phpなどの比較的サーバアドレス、ある
ユニフォームリソースロケータ(サブセットのURI):のURL - 。例えばhttp://www.baidu.com/aaa/bbb/1.php
- HTTP:HTTP経由でリソースへのユーザーアクセスにリソースを転送するために使用されるハイパーテキスト転送プロトコル、。アプリケーション層のプロトコル。HTTPS
2ウェブサイトのアーキテクチャ
- ブラウザの役割:ユーザーがサーバーに要求を提出するには、サーバーのリターンは応答が解析されました
- ウェブサーバー:ユーザーにユーザーの要求と応答を受け入れ、IISがWindowsである、Apacheのは、Linux、nginxのです
- Webアプリケーション:(など、サイトのショッピングブログ、)Webアプリケーションを開発するために、PHP、JSP、ASP、ASPXや他の開発言語を使用して。サーバー上で実行されています
- データベース:データを格納し、アプリケーション指定したアカウントのパスワードのデータベース接続のデータベースインタフェース
- ミドルウェアは:例えば、Linux環境では、希望するJavaプログラムを実行するには、サーバーとしてApacheを使用して、あなたはまた、Tomcatのサポート環境を必要とする、Tomcatはミドルウェアです。現在、Apacheや他のサーバやミドルウェアが少なく、広くミドルウェアのApache、IIS、Nginxは、Tomcatの、総称してJBoss ASで理解区別します。
ウェブアーキテクチャは、あらゆる場所で攻撃される可能性があります
HTTP平文は、キャプチャ、Webサーバーのセキュリティの脆弱性、データベースの脆弱性、最も重要なWebアプリケーションの脆弱性を盗聴されるプログラム自体を書くことである(SQLインジェクション、XSS)の脆弱性。馬にリンクされているウェブサイトを閲覧しながら、XSSは、ブラウザの脆弱性で、ページに接続する内蔵Webサーバーは、ブラウザの抜け穴がある場合、クライアントにトロイの木馬をダウンロードする別のサーバー上のリンクが自動的に実行されます。
レベル3のWebアプリケーション
WebアプリケーションCMS:物品管理システムを直接作成することができ、書き込みコードにユーザを必要としない、(例えば、ワードプレス、清華など)、独自のオープンソースのブログを構築
4 Webセキュリティの問題
4.1webサーバソフトウェアのセキュリティ問題
- サービス・サポート・ソフトウェアのセキュリティ問題
-ソフトウェアのセキュリティ上の脆弱性自身
例:サービスの脆弱性のIIS5.0ロングURL拒否
例:Unicodeのデコードの脆弱性
-ソフトウェアコンフィギュレーション欠陥
デフォルトアカウント、パスワード
危険な設定の
例は:IIS設定は、リモート書き込みを許可します
4.2のWebアプリケーションのセキュリティ問題
- 入力と出力の処理
- セッション制御
- ファイルシステム処理
- ユーザー・アクセス機構
- ログ処理
4.3 WEBブラウザのセキュリティ問題
- ウェブブラウザ
- WEBクライアントアプリケーション
-ショービューとユーザーサポート業務へのユーザーのためのページ
- lnternetエクスプローラ、Firefoxの、オペラとSafari
- セキュリティ侵害があるかもしれません
- クッキーベースの攻撃
- ソフトウェア構成に欠陥があるかもしれません