web安全介紹與基礎入門知識
安全與安全圈
甲方與乙方
甲方:如騰訊,阿里等需要安全服務的公司
乙方:提供安全服務產品的服務型安全公司
web與二進制
web,研究web安全
二進制,研究如客戶端安全等
web應用與web安全的發展
web安全,也可以叫做web應用安全。互聯網本來是安全的,自從有了研究安全的人之后,
互聯網就變得不安全了。
web應用經歷了開始,1.0以及現在3.0概念的出現,不斷的發展:
20世紀60年代IBM的GML(通用標記語言),以及發展到后來的SGML(標准通用標記語言)。
20世紀90年代,HTML的出現
瀏覽器的出現與發展
2004年之后,XMLHttpRequest的出現將web推向2.0時代
而現在,開始出現web3.時代
web安全跟隨者web應用的發展也不斷發展着:
web1.0時代,更多被關注的是服務器端的腳本的安全問題,如SQL注入等
web2.0時代,2005年Samy蠕蟲的爆發震驚了世界,web安全主戰場由服務器端轉換到瀏覽器。
SQL注入和XSS的出現分別是web安全史上的兩個里程碑。
web安全的本質是信任問題
由於信任,正常處理用戶惡意的輸入導致問題的產生
非預期的輸入
安全是木桶原理,短的那塊板決定的木桶究竟能裝多少水,同樣的,
假設把99%的問題都處理了,那么1%的遺留就會使造成安全問題的那塊短板
HTTP協議與會話管理
當我們訪問一個網址的時候,這中間發生了什么?
輸入網址
瀏覽器查找域名的IP地址
瀏覽器給web服務器發送一個HTTP請求
服務端處理請求
服務端返回一個HTTP響應
瀏覽器渲染顯示HTML
我們來看一個URL(統一資源定位器)
scheme://login:password@address:port/path/to/resource/?query_string#fragment
1.協議名稱
2.層級URL的標記符號(固定不變,語法規定)
3.訪問資源需要的憑證信息(可選)
4.從哪個服務器獲取數據
5.需要連接的端口號(默認80,可選)
6.指向資源的層級文件路徑
7.查詢字符串
8.片段ID
HTTP協議與會話管理
Cookie
Name cookie名稱
value cookie的值
domain 用於指定cookie的有效URL路徑
path 用於指定cookie的有效URL路徑
expres 用於設定cookie的有效時間
secure 如果設置該屬性,僅在HTTPS請求中提交Cookie
Http其實應該是HttpOnly,如果設置該屬性,客戶端javascript無法獲取Cookie值
Session
key Session的key
Value Session對應key的值
Session與Cookie的區別
Cookie的數據保存在客戶端瀏覽器,Session保存在服務器
服務端保存狀態機制需要在客戶端做標記,所以session可能借助Cookie機制
cookie通常用於客戶端保存用戶的登錄狀態
web應用的性能及網頁的渲染
瀏覽器解析順序
HTMLPARSER=>CSSPARSER=>Javascript PARSER
瀏覽器解碼順序
HTMLDECODING=>URLDECODING=>JAVASCRIPTDECODING
HTML Decoding>>URL Decoding>>JavascriptDecoding
DOM樹
function createMessage(){
var oP = document.createElement('p');
var oText = document.createTextNode('hello world');
oP.appendChild(oText);
document.body.appendChild(op);
}
瀏覽器特性與安全策略
同源策略
同源策略規定:不同域的客戶端腳本在沒明確授權的情況下,不能讀寫對方的資源
同域與不同域
授權:
HTTP響應頭返回
Access-control-oringe
沙盒框架
是對常規iframe表現行為的擴展,它能讓頂級頁面對其嵌入的子頁面及這些子頁面的子資源設置一些額外的限制。
通過設置iframe的參數實現限制
Allow-scripts:是否允許執行javascript腳本,沒有則不允許
Allow-forms:是否允許使用form表單,沒有則不允許
Allow-top-navigation:是否允許嵌入子頁面控制頂級窗口的地址跳轉,沒有則不允許
Allow-same-origin:是否允許訪問同源數據,沒有則不允許
Flash安全沙箱
分為本地沙箱與遠程
類似於同源策略,在同一域內的資源會被放到一個安全組下,成為安全沙箱
web站點通過crossdomain.xml文件配置可以提供允許的跨域訪問本域上內容的權限(放置於站點根目錄)
Cookie安全策略
Domain 用於指定Cookie是有效域
Path 用於指定Cookie的有效URL路徑
Secure 如果設置該屬性,僅在HTTPS請求中提交Cookie
Http 其實應該是HttpOnly,如果設置該屬性,客戶端javascript無法獲取Cookie值
內容安全策略
通過編碼在HTTP響應頭中的指令來實施策略
如
Content-Security-Pplicy:script-src 'self' https://www.
本文看自Web安全之Web 安全介紹與基礎入門知識視頻