web安全介绍与基础入门知识——课程概要
一.web应用安全发展与介绍
1.安全与安全圈
中国黑客的发展是一个波折的过程
1990年代初,部分人开始研究黑客技术(代表人物:马化腾)
1997-1999年,黑客团队涌现,进入黄金时代(中国红客联盟、中国黑客联盟、鹰派联盟。。。)
21世纪初,黑客工具傻瓜化,门槛低,黑客精神不在 今天,希望是安全的春天
圈内常识
安全团队所在的公司主要分为两类
1.甲方与乙方
甲方,如腾讯、阿里等需要安全服务的公司(这类公司拥有自己的安全团队,保障自己产品的安全)
乙方,提供安全服务、产品的服务型安全公司
2.web与二进制:
Web,研究web安全的
二进制,研究如客户端安全等(浏览器安全的 ,客户端安全的)
那些圈内熟识的安全公司
绿盟、知道创宇、安天、启明星辰、安恒、天融信....
2.web应用与web安全的发展
Web安全,也可以叫做web应用安全。
Web应用经历了开始、1.0以及现在3.0概念的出现,不断发展
20世纪60年代IBM的GML(通用标记语言)以及发展到后来的SGML(标准通用标记语言)
20世纪90年代,HTML出现 浏览器的出现与发展
2004之后,XMLHttpRequest的出现将web推向2.0时代 而现在,开始出现web3.0的概念
Web安全跟随着web应用的发展也不断发展着
Web1.0时代,更多被关注的是服务器端的脚本安全问题,如SQL注入等
Web2.0时代,2005年Samy蠕虫的爆发震惊了世界,web安全战场有服务器端转换到浏览器
SQL注入和XSS的出现分别是web安全史上两个里程碑
3.web安全隐患与本质
Web安全的本质是信任问题
由于信任。正常处理用户恶意的输入导致问题的产生 非预期的输入
安全是木桶原理,短的那块板决定木桶到底能成多少水,同样的,假设吧99%的问题都处理了,那么1%的遗留就会是造成安全问题的那块短板。
二、HTTP协议与会话管理
例子:访问百度过程
首先当我们访问一个网址的时候,这中间发生的事情? ·输入网址
·浏览器查找域名的IP地址
·浏览器给web服务器发送一个HTTP请求 ·服务器处理请求
·服务器发回一个HTTP响应 ·浏览器渲染显示HTML
让我们来看一个URL(统一资源定位器)
Session与cookie的区别
Cookie数据保存在客户端 Session数据保存在服务器 1.Web应用的组成与网页的渲染 2.浏览器特性与安全策略
