WEB攻击与防护技术 徐 震 信息安全国家重点实验室 提纲 一、背景概述 二、典型攻击 三、攻防原理 四、防护产品体系 1.1.技术背景 n Web成为主流的网络和应用技术 q CNCERT/CC 网络安全监测系统对流量数据进行的抽样统计 显示，Web 应用流量占整个TCP 流量的81.1% q B/S居统治地位：网上银行、电子商务、电子政务、证劵、 手机上网 3 1.2.安全威胁 1.2.安全威胁 n SANS年发布的全球20大安全风险排行榜上，Web应 用安全漏洞名列前茅，攻击者利用最多的漏洞是SQL 注入及跨站脚本 n 根据国家计算机网络应急技术处理协调中心(简称 CNCERT/CC)上半年的工作报告显示，网站漏洞百出， 被篡改的大陆网站数量明显上升，总数达到28367个， 比去年全年增加近16% 1.3. 相关政策、法规（1） n 经济命脉、社会稳定的重要信息系统”，我国到2020年应该达到： “国家信息安全保障水平大幅提高”。 q 《关于我国“十二五”信息化发展的基本思路》（中国工程院）中 提出“十二五”期间，“面向核心应用的信息安全技术”是6大核 心技术研发领域之一，同时要“加强信息内容的安全保障工作”。 q 《电力二次系统安全防护规定》对电力行业信息安全作出体系规划 n 等级保护与WEB应用安全的相关要求： 9 1.4. 相关政策、法规（2）

Y i i 版 版 版本 本 本 轙 轩 轩 当前有两个主要版本：輱 輮 輱 和 輲 輮 輰 。 輱 輮 輱 版是上代的老版本，现在处于维 护状态。 輲 輮 輰 版是一个完全重写的版本，采用了最新的技术和协议，包括依 赖包管理器 轃 软 轭 轰 软 轳 轥 轲 、轐 轈 轐 代码规范 轐 轓 轒 、命名空间、轔 轲 轡 轩 轴 轳 （特质）等 等。 輲 輮 輰 版代表新一代框架，是未来几年中我们的主要开发版本。 件安 安 安装 装 装 通过归档文件安装 轙 轩 轩 包括三个步骤： 輱 輮 从 轹 轩 轩 车 轲 轡 轭 轥 轷 软 轲 轫 輮 轣 软 轭 1 5 下载归档文件。 輲 輮 将下载的文件解压缩到 轗 轥 轢 访问的文件夹中。 輳 輮 修改 c o n f i g / w e b . p h p 文件，给 c o o k i e V a l i d a t i o n K e y 配置项 3 . 9 过 过 过滤 滤 滤器 器 器 过滤器是 控制器动作 执行之前或之后执行的对象。 例如访问控制过滤器 可在动作执行之前来控制特殊终端用户是否有权限执行动作， 内容压缩过 滤器可在动作执行之后发给终端用户之前压缩响应内容。 过滤器可包含预过滤（过滤逻辑在动作之前）或后过滤（过滤逻辑在动 作之后）， 也可同时包含两者。 輳 輮 輹 輮 过滤器 輹 輵 3 . 9 . 1 使 使 使用

'utf-8', // 默认输出编码 'http_cache_control' => 'private', // 网页缓存控制 'output_encode' => true, // 页面压缩输出 /*Html引擎配置。只适用于html模板引擎*/ 'html_theme' =>'', //默认只有单主题 'html_template_suffix' => '

'utf-8', // 默认输出编码 'http_cache_control' => 'private', // 网页缓存控制 'output_encode' => true, // 页面压缩输出 /*Html引擎配置。只适用于html模板引擎*/ 'html_theme' =>'', //默认只有单主题 'html_template_suffix' => '

'utf-8', // 默认输出编码 'http_cache_control' => 'private', // 网页缓存控制 'output_encode' => true, // 页面压缩输出 /*Html引擎配置。只适用于html模板引擎*/ 'html_theme' =>'', //默认只有单主题 'html_template_suffix' => '.html'

8、Cookie、Session与HTTP请求 9、MySQL数据库简介 10、SQL语句与命令⾏行 11、PHP中访问MySQL 12、⽤用户注册与登录 13、Web安全-SQL注⼊入与XSS 14、Ajax技术 关于成绩 • 平时成绩 50% • 8次上机实验报告 20% （严查抄袭） • 1次⼤大作业 15% （每⼈人不同的题⺫⽬目） • 10+次签到 15% （缺勤超过1/3不允许考试）

总要掌握⼀一⻔门吃饭的⼿手艺 怎么学习PHP • 任务驱动-It works. • 积极动⼿手-10,000⼩小时的练习时间 • 有问题Google⼀一下-学会翻墙很重要 • 多去逛逛技术论坛和博客-⾃自⼰己开个博客 • 多看别⼈人写的代码-丰富的开源软件 常⽤用⼯工具 Sublime 安装使⽤用上述软件

session_start()之前不能有任何输出 由于Session和Cookie都使⽤用Cookie 因此都要操作HTTP头信息 因此相关语句前不能有html⻚页⾯面内容输出 使⽤用⻚页⾯面缓存技术 ob_start(); ob_end_flush(); 缓存html不输出 输出html 作业⼀一 学习Session与Cookie的其他细节 PMWD Chapter 23 http://wenku

在这个类中，代码和给定缓存实现紧密耦合，因为我们基于一个来自包的具体的缓存类，如 果报的 API 变了，那么相应的，我们的代码必须做修改。 类似的，如果我们想要替换底层的缓存技术（Memcached）为别的技术实现（Redis），我 们将再一次不得不修改我们的代码库。我们的代码库应该并不知道谁提供的数据或者数据是 怎么提供的。 我们可以基于一种简单的、与提供者无关的接口来优化我们的代码，从而替代上述那种实现： log(message.user); }); 6.4.2 Redis 如果你在使用 Redis 广播，你将需要编写自己的 Redis pub/sub 消费者来接收消息并使用自 己选择的 websocket 技术将其进行广播。例如，你可以选择使用使用 Node 编写的流行的 Socket.io 库。 使用 Node 库 socket.io 和 ioredis，你可以快速编写事件广播发布所有广播事件： var

Laravel 学院（LaravelAcademy.org）提供 Laravel 学院致力于提供优质 Laravel 中文学习资源 95 类似的，如果我们想要替换底层的缓存技术（Memcached）为别的技术实现（Redis），我们将再 一次不得不修改我们的代码库。我们的代码库应该并不知道谁提供的数据或者数据是怎么提供的。 我们可以基于一种简单的、与提供者无关的接口来优化我们的代码，从而替代上述那种实现：