目录
一、Web应用基础
1、Web应用的基本概念
Web (World Wide Web)也称为万维网
➢脱离单机
➢Web应用在互联网上占据了及其重要的地位
➢Web应用的发展
■Web1.0-->Web2.0-->Web3.0-->.
2. Web应用系统的体系架构
广泛使用的是浏览器/服务器架构(B/S)
3. Web应用系统安全的突破点
➢Web安全问题越来越突出
➢浏览器安全问题却是最常见的安全突破点
二、浏览器所面临的安全威胁
1. XSS跨站脚本攻击
基本概念:
√ Cross Site Scripting
√ 跨站脚本攻击是由于网站允许脚本运行,而开发人员对用户提交的数据没有进行严格的控制,使得用户可以提交脚本到网页上,这些脚本在其它用户访问时可以加载并执行。
√ 脚本包括JavaScript、Java、VBScript、ActiveX、Flash甚至是普通的HTML语句。
√ 跨站脚本攻击是目前互联网最普遍的面向浏览器的攻击方式。
攻击原理:
√ 反射型:恶意用户将XSS发送给服务器,服务器将带有恶意代码的XSS反射给用户,从而完成攻击。
√ 存储型:恶意用户发送XSS请求,网站将其存储到数据库中,用户只要访问数据库中的XSS恶意请求,终端就会被攻击
√ DOM型:通过修改页面的 DOM 节点形成的 XSS。
攻击流程:
危害: