Web的攻击与防御.ppt

第七章WEB攻击与防御*目录Web安全的兴起Web安全风险的表现为什么会产什么web安全风险常见的web安全攻击技术web安全防御技术*Web安全的兴起在早期的互联网中,web并非主流的互联网应用,相对来说,基于SMTP、POP3、FTP、IRC等协议的用户拥有绝大多数用户,因此黑客们攻击的主要目标是网络、操作系统以及软件等领域,web安全领域的攻击预防与技术均处于非常原始的阶段。随着时代的发展,运营商和防火墙对网络的封锁使得暴漏在网络上的非web服务越来越少,且web技术的成熟使得web应用的功能越来越强大,最终成为互联网的主流,而黑客的目光也逐渐转移到web上,随之而来的就是web安全的问题。*,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本上传到服务器上,从而获得权限*Web安全的兴起伴随着,,XSS、CSRF(跨站点请求伪造)等攻击已经变得更为强大,web攻击的思路也从服务器端转向了客户端,转向了浏览器和用户。“魔高一尺道高一丈”,互联网发展到今天对web安全的要求也是越来越高,越来越复杂。*Web安全的兴起SQL注入的出现是web安全史上的一个重要里程碑,黑客们发现通过SQL注入攻击,可以获取更多的重要敏感数据,甚至能够通过数据库获取系统访问权限,这种效果并不比直接攻击系统软件差。XSS(跨站脚本攻击)的出现则是web安全史上的另外一个里程碑,实际上XSS出现时和SQL注入差不多,真正引起人们重视则是在03年以后,在经历了MySpace的XSS蠕虫事件后,XSS的重视程度提高了很多。*Web安全的定义黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。*什么是web安全风险呢?*某银行网站篡改*敏感数据泄密泄密*