WEB安全防护
WEB基础
• Internet采用超文本和超媒体的组合方式,将信息的链接扩展至整个Internet上。Web就是一种超文本信息系统,它使得文本不再固定在某一个位置,而是可以从一个位置跳转到另外的位置,正是这种多链接性,才把它称为Web。
• WEB攻击来源
客户端:网站木马;钓鱼欺骗;活动内容攻击
服务端:web服务器的漏洞;授权、认证攻击;跨站脚本攻击;SQL注入
通信通道:DoS、CC攻击;窃听;SSL重定向
HTTP工作流程:
1、客户机(浏览器)主动向服务器(web server)发出连接请求。
2、服务器接受连接请求并建立起连接。(1,2步即我们所熟知的TCP三次握手)
3、客户机通过此连接向服务器发出GET等http命令(HTTP请求报文)。
4、服务器接到命令并根据命令向客户机传送相应的数据(HTTP响应报文),有些内容需要认证(用户名密码)。
5、客户机接收从服务器送过来的数据。
6、服务器发送完数据后,主动关闭此次连接(TCP四次分手)
HTTP报文请求
• 请求行由请求方法字段、URL字段和HTTP协议版本字段3个字段组成,它们用空格分隔。 例如,GET /index.html HTTP/1.1。
HTTP协议的请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT。
o GET:读取由URL所标识的信息。
o OPTION:请求一些选项的信息,返回服务器针对特定资源所支持的HTTP请求方法,也可以利用向web服务器发送‘*’的请求来测试服务器的功能性。
o HEAD:请求读取URL所标识信息的首部。类似于 GET 请求,只不过返回的响应中没有具体的内容,用于获取报头
o POST:给服务器添加信息。 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。
o PUT:在指明的URL下存储一个文档。
o DELETE:删除指明的URL所标志的资源。
o TRACE:用来进行环回测试的请求报文。
o CONNECTHTTP:用于代理服务器。
• 通过GET提交数据,用户名和密码将明文出现在URL上,而登录页面有可能被浏览器缓存, 其他人也可以查看浏览器的历史纪录,那么别人就可以拿到你的账号和密码了。
• HTTP请求头部由关键字/值对组成,每行一对,关键字和值用英文冒号“:”分隔。请求头部通知服务器有关于客户端请求的信息,典型的请求头有:
• User-Agent:产生请求的浏览器类型。
• Accept:请求报头域用于指定客户端接受哪些类型的信息。
• Referer:上一个资源的URL。
• Connection:当值为Close时,告诉服务器发送响应的文件后关闭连接,为Keep-Alive时,告诉服务器在完成本次请求的响应后,保持连接。
• Host:主要用于指定被请求资源的Internet主机和端口号,它通常从URL中提取出来的,eg: www.google.cn 。此处使用缺省端口号80,若指定了端口号,则变成:Host: www.google.cn:指定端口号。
• 最后一个请求头之后是一个空行,发送回车符和换行符,通知服务器以下不再有请求头。
• 请求数据不在GET方法中使用,而是在POST方法中使用。POST方法适用于需要客户填写表单的场合。与请求数据相关的最常使用的请求头是Content-Type(客户端告诉服务器实际发送的数据类型)和Content-Length(HTTP消息实体的传输长度)。
HTTP响应报文
• 所有 HTTP 响应的第一行都是状态行,依次是当前HTTP版本号,3位数字组成的状态代码,以及描述状态的短语,彼此由空格分隔。格式为:HTTP-Version Status-Code Reason-Phrase CRLF。
例如:HTTP/1.1 200 OK 。其中HTTP-Version表示服务器HTTP协议的版本;Status-Code表示服务器发回的响应状态代码;
Reason-Phrase表示状态代码的描述。状态代码由三位数字组成,第一个数字定义了响应的类别,且有五种可能取值。
• 1xx:信息–表示请求已接收,继续处理。
• 2xx:成功–表示请求已被成功接收、理解、接受。如:200 OK,请求成功。
• 3xx:重定向–要完成请求必须进行更进一步的操作。
• 4xx:请求错误–请求有语法错误或请求无法实现。如:400 Bad Request,客户端请求有语法错误,不能被服务所理解;403 Forbidden,服务器收到请求,但是拒绝提供服务;404 Not Found,请求资源不存在。
• 5xx:服务器端错误–服务器未能实现合法的请求。如:503 Server Unavailable,服务器当前不能处理客户端的请求。
• 首部行由关键字/值对组成,每行一对,关键字和值用英文冒号“:”分隔,每一行结束的地方都要有CRLF。包含了服务器和报文主题的信息。例如:
• Server:告诉浏览器服务器的名称和版本号。如:Apache/2.2.10。
• Content-Type:实体报头域用语指明发送给接收者的消息主体的媒体类型。如:Content-Type:text/html。
• 最后一个请求头之后是一个空行,发送回车符和换行符,通知客服端以下是报文实体。
• HTTP响应报文实例:
HTTP/1.1 200 OK\r\n {状态行,表示请求成功,信息可以读取,包含在响应的报文中}
Date: Fri, 11 Sep 2009 05:58:46 GMT\r\n {发送该响应报文的日期和时间}
Server: Apache\r\n {报文是由一个Apache的服务器产的 }
Content-Length: 570 {表明实体的长度}
Connection: Keep-Alive\r\n {告诉客户端在报文发送后仍然保持连接}
Content-Type: application/x-javascript\r\n {说明实体中的对象类型}
\r\n {CRL
最低0.47元/天 解锁文章
1713
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
