WEB攻击与防护技术 徐 震 信息安全国家重点实验室 提纲 一、背景概述 二、典型攻击 三、攻防原理 四、防护产品体系 1.1.技术背景 n Web成为主流的网络和应用技术 q CNCERT/CC 网络安全监测系统对流量数据进行的抽样统计 显示，Web 应用流量占整个TCP 流量的81.1% q B/S居统治地位：网上银行、电子商务、电子政务、证劵、 手机上网 3 1.2.安全威胁 1.2.安全威胁 n SANS年发布的全球20大安全风险排行榜上，Web应 用安全漏洞名列前茅，攻击者利用最多的漏洞是SQL 注入及跨站脚本 n 根据国家计算机网络应急技术处理协调中心(简称 CNCERT/CC)上半年的工作报告显示，网站漏洞百出， 被篡改的大陆网站数量明显上升，总数达到28367个， 比去年全年增加近16% 1.3. 相关政策、法规（1） n 经济命脉、社会稳定的重要信息系统”，我国到2020年应该达到： “国家信息安全保障水平大幅提高”。 q 《关于我国“十二五”信息化发展的基本思路》（中国工程院）中 提出“十二五”期间，“面向核心应用的信息安全技术”是6大核 心技术研发领域之一，同时要“加强信息内容的安全保障工作”。 q 《电力二次系统安全防护规定》对电力行业信息安全作出体系规划 n 等级保护与WEB应用安全的相关要求： 9 1.4. 相关政策、法规（2）

8、Cookie、Session与HTTP请求 9、MySQL数据库简介 10、SQL语句与命令⾏行 11、PHP中访问MySQL 12、⽤用户注册与登录 13、Web安全-SQL注⼊入与XSS 14、Ajax技术 关于成绩 • 平时成绩 50% • 8次上机实验报告 20% （严查抄袭） • 1次⼤大作业 15% （每⼈人不同的题⺫⽬目） • 10+次签到 15% （缺勤超过1/3不允许考试）

总要掌握⼀一⻔门吃饭的⼿手艺 怎么学习PHP • 任务驱动-It works. • 积极动⼿手-10,000⼩小时的练习时间 • 有问题Google⼀一下-学会翻墙很重要 • 多去逛逛技术论坛和博客-⾃自⼰己开个博客 • 多看别⼈人写的代码-丰富的开源软件 常⽤用⼯工具 Sublime 安装使⽤用上述软件

session_start()之前不能有任何输出 由于Session和Cookie都使⽤用Cookie 因此都要操作HTTP头信息 因此相关语句前不能有html⻚页⾯面内容输出 使⽤用⻚页⾯面缓存技术 ob_start(); ob_end_flush(); 缓存html不输出 输出html 作业⼀一 学习Session与Cookie的其他细节 PMWD Chapter 23 http://wenku

在这个类中，代码和给定缓存实现紧密耦合，因为我们基于一个来自包的具体的缓存类，如 果报的 API 变了，那么相应的，我们的代码必须做修改。 类似的，如果我们想要替换底层的缓存技术（Memcached）为别的技术实现（Redis），我 们将再一次不得不修改我们的代码库。我们的代码库应该并不知道谁提供的数据或者数据是 怎么提供的。 我们可以基于一种简单的、与提供者无关的接口来优化我们的代码，从而替代上述那种实现： log(message.user); }); 6.4.2 Redis 如果你在使用 Redis 广播，你将需要编写自己的 Redis pub/sub 消费者来接收消息并使用自 己选择的 websocket 技术将其进行广播。例如，你可以选择使用使用 Node 编写的流行的 Socket.io 库。 使用 Node 库 socket.io 和 ioredis，你可以快速编写事件广播发布所有广播事件： var

Laravel 学院（LaravelAcademy.org）提供 Laravel 学院致力于提供优质 Laravel 中文学习资源 95 类似的，如果我们想要替换底层的缓存技术（Memcached）为别的技术实现（Redis），我们将再 一次不得不修改我们的代码库。我们的代码库应该并不知道谁提供的数据或者数据是怎么提供的。 我们可以基于一种简单的、与提供者无关的接口来优化我们的代码，从而替代上述那种实现：

Y i i 版 版 版本 本 本 轙 轩 轩 当前有两个主要版本：輱 輮 輱 和 輲 輮 輰 。 輱 輮 輱 版是上代的老版本，现在处于维 护状态。 輲 輮 輰 版是一个完全重写的版本，采用了最新的技术和协议，包括依 赖包管理器 轃 软 轭 轰 软 轳 轥 轲 、轐 轈 轐 代码规范 轐 轓 轒 、命名空间、轔 轲 轡 轩 轴 轳 （特质）等 等。 輲 輮 輰 版代表新一代框架，是未来几年中我们的主要开发版本。 3 . 5 U R L 规 规 规范 范 范化 化 化 从 輲 輮 輰 輮 輱 輰 版开始譕 譲 譬 管理器可以配置用譕 譒 譌 规范器来处理 相同轕 轒 轌 的不同 格式，例如是否带结束斜线。因为技术上来说 h t t p s : / / e x a m p l e . c o m / p a t h 和 h t t p s : / / e x a m p l e . c o m / p a t 。所以如果你确信你不在你 应用程序代码中别的地方更改其默认值， 你可以简单地删除上 述行来禁用调试模式。 1 4 . 7 . 3 使 使 使用 用 用缓 缓 缓存 存 存技 技 技术 术 术 你可以使用各种缓存技术来提高应用程序的性能。例如，如果你的应用 程序允许用户以 轍 轡 轲 轫 轤 软 轷 轮 格式输入文字， 你可以考虑缓存解析后的 轍 轡 轲 轫 轤 软 轷 轮 内容，避免每个请求都重复解析相同的

} 在这个类中，代码和给定缓存实现紧密耦合，由于我们基于一个来自包的具体的缓存类，如果包的 API 变了，那么相应的，我们的代码必须做修改。 类似的，如果我们想要替换底层的缓存技术（Memcached）为别的技术实现（Redis），我们将再一次不得不修改我们的代码库。我们的代码库应该 并不知道谁提供的数据或者数据是怎么提供的。 我们可以基于一种简单的、与提供者无关的接口来优化我们的代码，从而替代上述那种实现：

在这个类中，代码和给定缓存实现紧密耦合，由于我们基于一个来自 包的具体的缓存类，如果包的 API 变了，那么相应的，我们的代码必 须做修改。 类似的，如果我们想要替换底层的缓存技术（Memcached）为别的 技术实现（Redis），我们将再一次不得不修改我们的代码库。我们 的代码库应该并不知道谁提供的数据或者数据是怎么提供的。 我们可以基于一种简单的、与提供者无关的接口来优化我们的代码，

log(message.user); }); Redis 如果你在使用 Redis 广播，你将需要编写自己的 Redis pub/sub 消费者来接收消息并使 用自己选择的 websocket 技术将其进行广播。例如，你可以选择使用 Node 编写的流行 的 Socket.io 库。 使用 Node 库 socket.io 和 ioredis，你可以快速编写事件广播发布所有广播事件： var