第5章Web服务器攻击剖析.ppt

《第5章Web服务器攻击剖析.ppt》由会员分享，可在线阅读，更多相关《第5章Web服务器攻击剖析.ppt（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、随着Internet和电子商务的飞速发展，Web站点已成为提供Web服务的重要形式，成为一种极有价值的资源。Web服务程序通常都具有交互性，但随之而来的问题也较明显，Web应用程序和服务的增长已超越了程序开发人员所接受的安全培训和安全意识的范围，Web应用系统的安全风险达到了前所未有的高度，对网络的攻击已经深入到对Web的安全攻击。据统计，目前互联网上网站数据几乎每3年翻一倍，伴随着网站数量的增加，针对网站的攻击数量也在急剧增长。因此，为防御Web攻击和保证Web服务器安全，学习和掌握Web服务器攻击原理和技术是必不可少的一环。本章概述本章概述第 5 章 Web服务器攻击剖析5.2 主流Web

2、服务器介绍5.3 案例：真实的Web攻击5.4 常见Web漏洞攻击方式与防护5.1 Web服务器5.5 Web安全检测工具的使用第 5 章 Web服务器攻击剖析5.6 小结5.1 Web服务器Web服务器也称为WWW(World Wide Web)服务器，主主要功能要功能是提供网上信息浏览服务。WWW 也可以简称为 Web，中文名字为“万维网”。通过万维网，人们只要通过使用简单的方法，就可以很迅速方便地取得丰富的信息资料。由于用户在通过 Web 浏览器访问信息资源的过程中，无需再关心一些技术性的细节，而且界面非常友好，因而 Web 在Internet 上一推出就受到了热烈的欢迎，走红全球，并迅

3、速得到了爆炸性的发展。5.1.15.1.1 什么是什么是WebWeb服务器服务器5.1 Web服务器至1993年，WWW技术有了突破性进展，它解决了远程信息服务中的文字显示、数据连接以及图像传递文字显示、数据连接以及图像传递的问题，使得 WWW 成为 Internet 上最为流行的信息传播方式。WWW采用的是客户客户/服务器服务器结构，其作用作用是整理和储存各种资源，并响应客户端软件的请求，把客户所需的资源传送到 Windows、UNIX 或 Linux 等平台上。5.1.15.1.1 什么是什么是WebWeb服务器服务器5.1 Web服务器通俗的讲，Web服务器传送(serves)页面使浏览

4、器可以浏览，然而应用程序服务器提供的是客户端应用程序可以调用(call)的方法(methods)。确切一点，可以说：Web服务器专门处理HTTP请求(request)，但是应用程序服务器是通过很多协议来为应用程序提供(serves)商业逻辑(business logic)。5.1.15.1.1 什么是什么是WebWeb服务器服务器5.1 Web服务器Web服务器可以解析(handles)HTTP协议。当Web服务器接收到一个HTTP请求(request)，会返回一个HTTP响应(response)，例如送回一个HTML页面。为了处理一个请求(request)，Web服务器可以响应(respon

5、se)一个静态页面或图片，进行页面跳转(redirect)，或者把动态响应(dynamic response)的产生委托(delegate)给一些其它的程序例如CGI脚本、JSP(Java Server Pages)脚本、servlets、ASP(Active Server Pages)脚本、服务器端JavaScript、或者一些其它的服务器端(server-side)技术。无论它们的目的如何，这些服务器端(server-side)的程序通常产生一个HTML的响应(response)来让浏览器可以浏览。5.1.15.1.1 什么是什么是WebWeb服务器服务器5.1 Web服务器应用程序服务器

6、通过各种协议（包括HTTP)，把商业逻辑暴露给客户端应用程序。Web服务器主要是处理向浏览器发送服务器主要是处理向浏览器发送HTML以以供浏览，而应用程序服务器提供访问商业逻辑的途径以供客户端供浏览，而应用程序服务器提供访问商业逻辑的途径以供客户端应用程序使用。应用程序使用。应用程序使用此商业逻辑就象你调用对象的一个方法(或过程语言中的一个函数)一样。应用程序服务器的客户端(包含有图形用户界面(GUI)的)可能会运行在一台PC、一个Web服务器或者甚至是其它的应用程序服务器上。在应用程序服务器与其客户端之间来回穿梭(traveling)的信息不仅仅局限于简单的显示标记。相反，这种信息就是程序逻

7、辑(program logic)。正是由于这种逻辑取得了(takes)数据和方法调数据和方法调用用(calls)的形式的形式而不是静态HTML，所以客户端才可以随心所欲的使用这种被暴露的商业逻辑。5.1.15.1.1 什么是什么是WebWeb服务器服务器1.Web服务器硬件服务器：类似PC，但要求更高性能要求：长时间、高速、可靠地运行，不能轻易断电、关机、停止服务，即使发生故障，也必须能很快恢复。最主要的高性能：I/O能力、稳定性硬件：要求读写速度高、稳定性好的SCSI磁盘或RAID磁盘阵列，更大内存，多CPU网络设备：网线、网卡、路由器、交换机等。为满足高带宽、多用户同时在线的需要，网络、网

8、卡、路由器等都需要使用高性能的设备。其中带有防火墙的网络设备可有效保证Web服务器的安全，如Cisco的交换机和路由器等。5.1.25.1.2 WebWeb服务器的硬件和软件服务器的硬件和软件5.1 Web服务器2.Web服务器软件操作系统不同，服务器软件也不同操作系统不同，服务器软件也不同操作系统：Windows Server、Linux、Unix系列。Windows Server操作系统下的Web服务器程序主要是微软自己开发的IIS，它是当前Windows平台下使用最广泛的Web服务器软件。Unix和Linux平台下的Web服务端软件大多是由开源社区免费开发的软件，如目前最广泛的Apach

9、e、Tomcat服务端软件。这些软件也可以移植到Windows系统下供用户使用，但其性能会有一些降低。5.1.25.1.2 WebWeb服务器的硬件和软件服务器的硬件和软件5.1 Web服务器最初程序都是单机应用的，随着网络技术的发展逐步发展到C/S模式为主的分布式应用，之后，C/S模式又由两层发展到三层结构，即B/S模式。5.1.35.1.3 WebWeb服务器工作模式服务器工作模式5.1 Web服务器C/S工作模式：是一种两层结构，即客户机和数据库服务器。服务器仅承担数据库的读取和存储工作。客户端应用程序既要用各种规则对数据进行处理，又要将数据以各种形式展现给用户。又称“胖客户端/瘦服务器

10、模式”。5.1.35.1.3 WebWeb服务器工作模式服务器工作模式5.1 Web服务器B/S工作模式：是一种三层结构，即展现层、业务逻辑层和数据服务层。展现层主要负责用户输入，接受用户信息并显示结果；数据服务层负责对数据的读取和存储管理工作；业务逻辑层包含了控制应用处理的所有规则，将展现层和数据服务层联系起来，承担了大部分工作。又称“瘦客户端/胖服务器模式”。5.1.35.1.3 WebWeb服务器工作模式服务器工作模式5.1 Web服务器服务器对客户端的请求处理过程：读取分析HTTP请求消息：按规定格式解析HTTP请求，取出所含信息，并据此分析客户的操作意图。将URL转换为本地文件信息：

11、当服务器收到相应的URL请求后，必须按服务器配置情况，将这些URL转换为本机地址或其他共享机地址，这样它才能知道用户实际上是要获取哪些资源。决定是否授权：服务器会根据用户需要访问的资源和当前访问的用户名等属性进行认证，以确定用户请求这些资源是否合法，是否具有相应权限。处理用户信息，生成相应信息并传送给客户机：经过安全审核，获得授权后，服务器才会真正对用户的请求进行处理。根据用户的请求读取某些资源文件、运行某些脚本或CGI程序，还有可能读取一些数据并进行一定的逻辑处理等。待这些消息都处理完成后，服务器会将处理结果以HTML格式传送给客户机。5.1.35.1.3 WebWeb服务器工作模式服务器工

12、作模式5.1 Web服务器服务器返回的信息分为两类：静态信息静态信息：静态页面以.htm、.html、.shtml等常见形式为后缀，而不含有“？”；无论用户以何种方式请求，返回的资源信息都是相同的，不会发生什么变化。使用此类信息返回的网站称为静态网站静态网站。动态信息动态信息：根据用户提交信息的不同返回不同信息结果。动态页面以ASP、PHP、JSP、ASP.net、CGI等结尾。使用此种信息的网站称作动态网站动态网站。静态网站不具备交互性，动态网站具备交互性。5.1.35.1.3 WebWeb服务器工作模式服务器工作模式5.1 Web服务器1.统一资源定位器（统一资源定位器（URL）：）：统一

13、资源定位符（URL）是用于完整地描述Internet上网页和其他资源地址的一种标识方法。Internet上的每一个网页都具有一个唯一的名称标识，通常称之为URL地址，这种地址可以是本地磁盘，也可以是局域网上的某一台计算机，更多的是Internet上的站点。简单地说，URL就是Web地址，俗称“网址”。URL由三部分组成：协议类型，主机名和路径及文件名由三部分组成：协议类型，主机名和路径及文件名。通过URL可以指定的主要有以下几种：http、ftp、gopher、telnet、file等。http:/ 当前当前WebWeb三大支撑技术三大支撑技术-URLURL、HTMLHTML、HTTPHTTP

14、5.1 Web服务器1.统一资源定位器（统一资源定位器（URL）：）：统一资源定位符（URL）是用于完整地描述Internet上网页和其他资源地址的一种标识方法。Internet上的每一个网页都具有一个唯一的名称标识，通常称之为URL地址，这种地址可以是本地磁盘，也可以是局域网上的某一台计算机，更多的是Internet上的站点。简单地说，URL就是Web地址，俗称“网址”。URL由三部分组成：协议类型，主机名和路径及文件名由三部分组成：协议类型，主机名和路径及文件名。通过URL可以指定的主要有以下几种：http、ftp、gopher、telnet、file等。http:/ 当前当前WebWeb

15、三大支撑技术三大支撑技术-URLURL、HTMLHTML、HTTPHTTP5.1 Web服务器1.统一资源定位器（统一资源定位器（URL）：）：5.1.45.1.4 当前当前WebWeb三大支撑技术三大支撑技术-URLURL、HTMLHTML、HTTPHTTP5.1 Web服务器2.超文本标记语言（超文本标记语言（HTML）是一种信息资源描述语言。HTML文档经浏览器解释后，就成为丰富多彩的Web页面了。3.超文本传输协议（超文本传输协议（HTTP）超文本传输协议(HTTP，HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守

16、这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。HTTP是超文本传输协议，是客户端浏览器或其他程序与Web服务器之间的应用层应用层通信协议。在Internet上的Web服务器上存放的都是超文本信息，客户机需要通过HTTP协议传输所要访问的超文本信息。HTTP包含命令和传输信息，不仅可用于Web访问，也可以用于其他因特网/内联网应用系统之间的通信，从而实现各类应用资源超媒体访问的集成。5.1.45.1.4 当前当前WebWeb三大支撑技术三大支撑技术-URLURL、HTMLHTML、HTTPHTTP5.1 Web服务器目前主流的目前主流的Web服务器有服务器有3种：种：IIS、Apache、Tomcat对应对应3种不同的网站开发平台：种不同的网站开发平台：ASP/.NET、PHP、JSP后两个后两个Apache、Tomcat可以跨平台使用。可以跨平台使用。概述概述概述概述5.2 主流Web服务器介绍5.2.15.2.1 IISIIS5.2 主流Web服务器介绍5.2.25.2.2 ApacheApache5.2.35.2.3 TomcatTomcat本 章 小 结