10 WEB攻击与防护技术 徐震 杨亮 《PHP语⾔程序设计》

### 文档总结 #### 一、背景概述 1. **技术背景**： - Web已成为主流网络和应用技术，占比TCP流量的81.1%。 - B/S架构占据主导地位，广泛应用于网上银行、电子商务、电子政务等领域。 2. **安全挑战**： - 应用层存在巨大漏洞，传统的网络层防护（如防火墙、IDS）无法检测并阻止应用层攻击。 --- #### 二、典型攻击 1. **OWASP Top 10（2007 & 2010）**： - **2007年**： - A1：注入漏洞 - A2：跨站脚本（XSS） - A3：不安全的认证和会话管理 - A4：不安全的直接对象引用 - A5：跨站请求伪造（CSRF） - **2010年**： - 新增：安全误配置、不安全的重定向和转发 - 删除：恶意文件执行、信息泄露和错误处理 2. **主要风险**： - 注入攻击、跨站脚本、认证漏洞、信息泄露等。 --- #### 三、攻防原理 1. **防护方法**： - 修补Web服务器漏洞。 - 用户输入过滤。 - 防护分层：网络层、应用层、主机层协同防护。 2. **核心思想**： - 通过修补漏洞、过滤输入和分层防护，实现主动防御。 --- #### 四、防护产品体系 1. **主要工具与系统**： - **客户端**：Web应用代码分析工具、客户端加固。 - **服务器端**：Web漏洞扫描系统、Web应用防火墙、DDoS防护系统。 - **网络层**：防火墙、SSL、OS加固。 - **应用层**：Web服务、目录服务、遗留系统、定制开发代码等。 2. **防护架构**： - 客户端与服务器协同，结合网络层和应用层防护，构建全面的安全体系。 --- ### 总结 文档重点介绍了Web攻击与防护技术的背景、典型攻击类型、攻防原理及防护产品体系。Web应用流量占比高，安全边界存在巨大漏洞，需通过修补漏洞、用户输入过滤、分层防护等手段应对注入、XSS、认证漏洞等常见攻击。防护产品体系从客户端到服务器端，结合网络层和应用层防护，提供全面的安全保障。