- 论坛徽章:
- 20
|
4.了解web安全机制的深度解析
这些年,网速越来越快,Web技术发展也相当的快,各种应用也逐渐从C/S架构转向B/S架构。Web应用越来越流行,安全问题必将越来越受重视。互联网金融、电子商务、P2P,在互联网中流动的资金量已经相当大。有利益的地方就有纷争,在互联网中暗藏着巨大的利益,自然也就存在着偷窃者。
Web攻击的方法有SQL注入,XSS, CSRF,点击劫持等。2007年,初次接触这些词汇时,只知其然,而不知道其所以然,而现在,从网页源代码的角度,深入理解这些名词背后的含义。
点击劫持,在网上最常见的应用地方就是电影下载网站。在用户未进行第一次点击前,用户看到的页面是正常的,而用户第一次点击下载页面,用户并未进入真正的下载页面,而是进入了广告页面,用户第二次点击下载,才能进入真正的下载页面。
Web页面的展示,有文字,图片,表格,后台显示的数据等。后台的数据库可以是MySQL, SQLserver、Access等,对于Web应用对于数据库的操作,只能给予其很小的权限,防止恶意用户通过Web浏览器对数据库进行非法操作。
用户通过浏览器向Web服务器发送请求,请求的具体表现形式就是URL。一个网站是由许多页面构成,一般分为主页和其它页面。其它页面一般是在主页上存在一个链接,通过主页链接过去。其它页面一般都包括回到主页的按钮。通过按钮,用户浏览完其它页面可以轻松回到主页,就像迷途的孩子回到了温暖的家,回到了父母身边。服务器接收到用户的请求,需要将请求的结果反馈给用户,也即像用户展现Web页面。Web页面一般由文字、图片、Flash、后台数据等信息构成,浏览器负责服务器传过来的数据和代码以友好的形式展现给用户。用户看到一个网页内容,可能来源于不同的服务器,比如,文字内容来源于服务器A,图片来源于服务器B, 后台数据又来源于服务器C。采用这种方式可以减轻单台服务器负载,同时根据服务器的不同使用性质,进行专门配置,比如,图片服务器需要很大的硬盘存储空间,数据库服务器需要高效IO硬盘等。这些服务器可以分布在同一个局域网中,也可以位于公网上。
Web页面分为静态页面和动态页面,静态页面使用HTML语言编写,动态页面使用php,jsp,asp等语言编写。静态页面主要用于展现文字,图片等信息,动态页面主要与后台进行交互,比如,最常见的通过php语言查询数据库等。数据库可以是MySQL,PostgreSQL等。
HTML语言。超文本标记语言。HTTP协议,超文本传输协议。HTML语言和HTTP协议构成了精彩的WWW世界。这也是较早的互联网应用。HTTP主要有两种方法向服务器发送请求。一种是GET方法,还有一种是POST方法。在<form > 这个表单中可以指定方法客户端浏览器对服务器请求的方法。
i春秋这一年发展速度相当快,而且切入了一个几乎是空白的市场:信息安全人员在线培训,刚开始阶段通过免费的方式进行推广,吸引了不少用户加入,把安全的市场逐渐扩大。 |
|