《網(wǎng)絡(luò)空間安全導(dǎo)論》 課件 25-系統(tǒng)安全05-Web安全01-Web技術(shù)發(fā)展、02-Web安全概述

Web技術(shù)發(fā)展了解Web的發(fā)展背景熟悉Web的架構(gòu)熟悉Web應(yīng)用的發(fā)展歷程熟悉新形勢(shì)下的安全問(wèn)題教學(xué)目標(biāo)Web起源Web架構(gòu)Web應(yīng)用發(fā)展歷程新的安全問(wèn)題目錄Web起源Web（WorldWideWeb），即全球廣域網(wǎng)，也稱WWW或萬(wàn)維網(wǎng)。Web是一種基于超文本和HTTP的、全球性的、動(dòng)態(tài)交互的、跨平臺(tái)的分布式圖形信息系統(tǒng)；是建立在Internet上的一種網(wǎng)絡(luò)服務(wù)，為瀏覽者在Internet上查找和瀏覽信息提供了圖形化的、易于訪問(wèn)的直觀界面，其中的文檔及超級(jí)鏈接將Internet上的信息節(jié)點(diǎn)組織成一個(gè)互為關(guān)聯(lián)的網(wǎng)狀結(jié)構(gòu)。Web起源

WorldWideWeb最初設(shè)想：借助多文檔之間相互關(guān)聯(lián)形成超文本（HyperText），連成可互相參閱的萬(wàn)維網(wǎng)（WWW）。1989年，CERN（歐洲核子研究組織）由TimBerners-Lee領(lǐng)導(dǎo)的小組，提交了一個(gè)針對(duì)Internet的新協(xié)議和一個(gè)使用該協(xié)議的文檔系統(tǒng)。該小組將這個(gè)新系統(tǒng)命名為WordWideWeb，它的目的在于使全球的科學(xué)家能夠利用Internet交流自己的工作文檔。這個(gè)新系統(tǒng)被設(shè)計(jì)為允許Internet上任意一個(gè)用戶都可以從許多文檔服務(wù)計(jì)算機(jī)的數(shù)據(jù)庫(kù)中搜索和獲取文檔。Timberners-leeWeb起源

WorldWideWeb1989年3月12日，實(shí)現(xiàn)了超文本傳輸協(xié)議(HTTP)客戶端和服務(wù)器之間通過(guò)互聯(lián)網(wǎng)的第一次成功通信。1990年11月，這個(gè)新系統(tǒng)的基本框架已經(jīng)在CERN中的一臺(tái)計(jì)算機(jī)中開(kāi)發(fā)出來(lái)并實(shí)現(xiàn)了，成功研發(fā)了世界第一臺(tái)Web服務(wù)器和Web瀏覽器。1991年該系統(tǒng)移植到了其他計(jì)算機(jī)平臺(tái)，并正式發(fā)布。HTML、HTTP、URI、瀏覽器、Web服務(wù)器，就此發(fā)明問(wèn)世。Web起源

Web核心組成URI（統(tǒng)一資源標(biāo)識(shí)符）：解決了文檔的命名和尋址識(shí)別問(wèn)題HTTP（超文本傳輸協(xié)議）：解決了瀏覽器與服務(wù)器應(yīng)用層之間的交流問(wèn)題HTML（超文本標(biāo)記語(yǔ)言）：定義了超文本文檔的表示瀏覽器用于發(fā)起請(qǐng)求，并且解析文檔服務(wù)器用于保存文檔Web架構(gòu)操作系統(tǒng)：windows、linux存儲(chǔ)：數(shù)據(jù)庫(kù)存儲(chǔ)、內(nèi)存存儲(chǔ)、文件存儲(chǔ)Web容器：Tomcat、WeblogicWeb服務(wù)器：Apache、IIS、NginxWeb服務(wù)端語(yǔ)言：PHP、ASP、JavaWeb開(kāi)發(fā)框架：ThinkPHP、Django、Struts2軟件系統(tǒng)：CMS、BBS、BlogWeb前端框架：HTML5、jQuery、Bootstrap第三方內(nèi)容：廣告統(tǒng)計(jì)、mockupWeb架構(gòu)Web架構(gòu)操作系統(tǒng)概念操作系統(tǒng)（OperatingSystem，OS）是一種軟件（計(jì)算機(jī)由硬件和軟件組成），它是硬件基礎(chǔ)上的第一層軟件，是硬件和其它軟件溝通的橋梁，為了方便使用，承上啟下（類比于：接口、中間人、中介等）作用操作系統(tǒng)會(huì)控制其他程序運(yùn)行，管理系統(tǒng)資源，提供最基本的計(jì)算功能，如管理及配置內(nèi)存、決定系統(tǒng)資源供需的優(yōu)先次序等，提供一些基本的服務(wù)程序舉例Windows、Linux、MacOS等Web架構(gòu)存儲(chǔ)概念現(xiàn)代信息技術(shù)中用于保存信息的記憶設(shè)備用于存儲(chǔ)的設(shè)備被稱作為存儲(chǔ)介質(zhì)用于規(guī)定、管理存儲(chǔ)的軟件，稱為存儲(chǔ)管理系統(tǒng)作用按照一定的約定，有規(guī)律的存放數(shù)字信息舉例內(nèi)存、硬盤(pán)、U盤(pán)、數(shù)據(jù)庫(kù)（sql、mysql、oracle）等Web架構(gòu)Web服務(wù)器概念對(duì)外提供靜態(tài)頁(yè)面Web服務(wù)的軟件系統(tǒng)作用處理HTTP協(xié)議接收、處理、發(fā)送靜態(tài)頁(yè)面處理并發(fā)、負(fù)載均衡舉例Apache、IIS、Nginx等Web架構(gòu)Web容器概念為了滿足交互操作，獲取動(dòng)態(tài)結(jié)果，而提供的一些擴(kuò)展機(jī)制能夠讓HTTP服務(wù)器調(diào)用服務(wù)端程序。作用處理動(dòng)態(tài)頁(yè)面請(qǐng)求（解釋器），如asp、jsp、php、cgi舉例Tomcat、weblogic、Jboss、Webshere等Web架構(gòu)Web服務(wù)端語(yǔ)言概念用于提供Web頁(yè)面的自定義功能，專業(yè)處理互聯(lián)網(wǎng)通信，使用網(wǎng)頁(yè)瀏覽器作為用戶界面。作用可以動(dòng)態(tài)地編輯、修改或添加網(wǎng)頁(yè)內(nèi)容?？梢詫?duì)用戶從HTML提交的查詢或數(shù)據(jù)進(jìn)行響應(yīng)，訪問(wèn)數(shù)據(jù)或數(shù)據(jù)庫(kù)，并把結(jié)果返回到瀏覽器。也可以訪問(wèn)文件或XML數(shù)據(jù)，并把結(jié)果返回到瀏覽器，把XML轉(zhuǎn)換為HTML，并把結(jié)果返回到瀏覽器。還可以為不同的用戶定制頁(yè)面，提高頁(yè)面的可用性，對(duì)不同的網(wǎng)頁(yè)提供安全的訪問(wèn)控制，為不同類型的瀏覽器設(shè)計(jì)不同的輸出等。舉例PHP、ASP、JAVA等Web架構(gòu)Web開(kāi)發(fā)框架概念類似于模板，用來(lái)支持動(dòng)態(tài)網(wǎng)站、網(wǎng)絡(luò)應(yīng)用程序及網(wǎng)絡(luò)服務(wù)的開(kāi)發(fā)。作用提高Web開(kāi)發(fā)效率，降低開(kāi)發(fā)難度舉例PHP的thinkphp、Java的Struts2、Spring等Web架構(gòu)軟件系統(tǒng)舉例cms、bbs、blog、Wordpress等區(qū)別框架就是將一些常用操作封裝起來(lái)，并給合一些設(shè)計(jì)模式，用來(lái)規(guī)范和簡(jiǎn)化程序員的開(kāi)發(fā)流程；而cms等軟件系統(tǒng)一般都屬于一個(gè)完整的系統(tǒng)，有頁(yè)面、有數(shù)據(jù)庫(kù)，部署在站點(diǎn)上之后就能直接通過(guò)瀏覽器地址來(lái)訪問(wèn)，可以基于框架開(kāi)發(fā)。Web架構(gòu)訪問(wèn)流程訪問(wèn)URL：域名解析建立TCP連接發(fā)送HTTP請(qǐng)求服務(wù)器響應(yīng)關(guān)閉TCP連接用戶瀏覽器渲染頁(yè)面Web應(yīng)用發(fā)展歷程Web應(yīng)用發(fā)展歷程早期靜態(tài)頁(yè)面無(wú)認(rèn)證頁(yè)面實(shí)際存在通過(guò)URL地址訪問(wèn)瀏覽器直接解析,無(wú)需服務(wù)器解釋或者編譯只能返回純文本（靜態(tài)的）文件信息是從服務(wù)端到客戶端，單向傳遞，不支持動(dòng)態(tài)交互修改復(fù)雜Web應(yīng)用發(fā)展歷程早期靜態(tài)頁(yè)面Web應(yīng)用發(fā)展歷程無(wú)法獲取敏感信息早期web站點(diǎn)入侵歪曲網(wǎng)站內(nèi)容傳播非常內(nèi)容暗鏈反動(dòng)黑頁(yè)Web應(yīng)用發(fā)展歷程動(dòng)態(tài)頁(yè)面隨著Web的發(fā)展，產(chǎn)生了交互的需求，信息要在客戶端和服務(wù)端之間雙向流動(dòng)，也就是動(dòng)態(tài)網(wǎng)頁(yè)的概念；所謂動(dòng)態(tài)就是利用flash、php、asp、Java等技術(shù)在網(wǎng)頁(yè)中嵌入一些可運(yùn)行的腳本，用戶瀏覽器在解釋頁(yè)面時(shí)，遇到腳本就啟動(dòng)運(yùn)行它。動(dòng)態(tài)腳本的使用讓W(xué)eb服務(wù)模式有了“雙向交流”的能力，Web服務(wù)模式也可以像傳統(tǒng)軟件一樣進(jìn)行各種事務(wù)處理，如編輯文件、利息計(jì)算、提交表單等，Web架構(gòu)的適用面大大擴(kuò)展。這些動(dòng)態(tài)腳本可以嵌入在頁(yè)面中，如JS等。也可以以文件的形式單獨(dú)存放在Web服務(wù)器的目錄里，如.asp、.php、jsp文件等。這樣功能性的腳本越來(lái)越多，形成常用的工具包，單獨(dú)管理。Web業(yè)務(wù)開(kāi)發(fā)時(shí)，直接使用就可以了，這就是中間件服務(wù)器，它實(shí)際上是Web服務(wù)器處理能力的擴(kuò)展。Web應(yīng)用發(fā)展歷程動(dòng)態(tài)頁(yè)面網(wǎng)頁(yè)數(shù)據(jù)具備動(dòng)態(tài)交互功能后臺(tái)具備數(shù)據(jù)處理能力強(qiáng)大數(shù)據(jù)庫(kù)作支撐動(dòng)態(tài)頁(yè)面的優(yōu)勢(shì)減少網(wǎng)頁(yè)的數(shù)量增加前后臺(tái)交互能力拓展網(wǎng)站能力新的安全問(wèn)題Web應(yīng)用指采用B/S架構(gòu)、通過(guò)HTTP/HTTPS協(xié)議提供服務(wù)的統(tǒng)稱。隨著互聯(lián)網(wǎng)的廣泛使用，Web應(yīng)用已經(jīng)融入到日常生活中的各個(gè)方面：網(wǎng)上購(gòu)物、網(wǎng)絡(luò)銀行應(yīng)用、證券股票交易、政府行政審批等等。在這些Web訪問(wèn)中，大多數(shù)應(yīng)用不是靜態(tài)的網(wǎng)頁(yè)瀏覽，而是涉及到服務(wù)器端的動(dòng)態(tài)處理。此時(shí)，如果Java、PHP、ASP等程序語(yǔ)言的編程人員的安全意識(shí)不足，對(duì)程序參數(shù)輸入等檢查不嚴(yán)格等，就會(huì)導(dǎo)致Web應(yīng)用安全問(wèn)題層出不窮。新的安全問(wèn)題SQL注入：針對(duì)數(shù)據(jù)庫(kù)XSS：竊取管理員賬戶或Cookie，冒充管理員身份登錄后臺(tái)具有操作后臺(tái)數(shù)據(jù)的能力，包括讀取、更改、添加、刪除一些信息文件上傳：上傳惡意文件…Web起源Web架構(gòu)Web應(yīng)用發(fā)展歷程新的安全問(wèn)題總結(jié)Web安全概述了解中國(guó)黑客的發(fā)展了解Web安全的發(fā)展熟練分析Web事件教學(xué)目標(biāo)中國(guó)黑客的發(fā)展Web安全發(fā)展Web安全事件分析目錄中國(guó)黑客的發(fā)展隨著Web2.0、社交網(wǎng)絡(luò)、微博等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來(lái)越廣泛，企業(yè)信息化的過(guò)程中各種應(yīng)用都架設(shè)在Web平臺(tái)上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強(qiáng)烈關(guān)注。接踵而至的就是Web安全威脅的凸顯，黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁(yè)內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁(yè)中植入惡意代碼，使得網(wǎng)站訪問(wèn)者受到侵害。互聯(lián)網(wǎng)剛剛開(kāi)始是安全的，但是伴隨著黑客（Hacker）的誕生，互聯(lián)網(wǎng)變得越來(lái)越不安全。中國(guó)黑客的發(fā)展黑客一詞來(lái)源于“Hacker”，通常指對(duì)于計(jì)算機(jī)系統(tǒng)有深入的理解，能夠發(fā)現(xiàn)其中的問(wèn)題。“Hacker”在中國(guó)按照音譯，被稱為“黑客”。在計(jì)算機(jī)安全領(lǐng)域，黑客是一群破壞規(guī)則、不喜歡被約束的人，因此總想著能夠找到系統(tǒng)的漏洞，以獲得一些規(guī)則之外的權(quán)力。“黑客”這個(gè)詞并非源于計(jì)算機(jī)，而是源于1961年（60年代）麻省理工學(xué)院（MIT）的技術(shù)模型鐵路俱樂(lè)部，當(dāng)時(shí)俱樂(lè)部成員們?yōu)樾薷墓δ芏诹怂麄兊母呖萍剂熊嚱M。從玩具列車推進(jìn)到了計(jì)算機(jī)領(lǐng)域，這些MIT學(xué)生以及其他早期黑客，僅僅對(duì)探索、改進(jìn)和測(cè)試現(xiàn)有程序的極限感興趣。某些情況下，這些黑客甚至產(chǎn)生了比先前程序好的多的程序，比如丹尼斯·里奇和基斯·湯普森的UNIX操作系統(tǒng)。中國(guó)黑客的發(fā)展計(jì)算機(jī)黑客持續(xù)繁榮演進(jìn)到70年代，催生了新一類的黑客：玩弄電話系統(tǒng)的黑客，也稱“飛客”。比如約翰·德拉浦，利用的是電話交換網(wǎng)絡(luò)的操作特性，可以愚弄電話交換網(wǎng)絡(luò)，免費(fèi)享用長(zhǎng)途通話。如今的電話交換網(wǎng)絡(luò)已經(jīng)完全電子化了。80年代時(shí)黑客歷史的分水嶺，因?yàn)榇藭r(shí)完備的個(gè)人計(jì)算機(jī)被引入了公眾視野。個(gè)人電腦的廣泛普及，引爆了黑客的快速增長(zhǎng)。雖然仍有大量黑客專注于改進(jìn)操作系統(tǒng)，但更關(guān)注個(gè)人所得的新一類黑客也漸漸浮出水面，他們將自己的技術(shù)用于犯罪活動(dòng)，包括盜版軟件、創(chuàng)建病毒和侵入系統(tǒng)盜取敏感信息等。中國(guó)黑客的發(fā)展在黑客的世界里，有的黑客精通計(jì)算機(jī)技術(shù)，能自己挖掘漏洞，并編寫(xiě)exploit；有的黑客只對(duì)攻擊本身感興趣，對(duì)計(jì)算機(jī)原理和各種編程技術(shù)的了解比較粗淺，只懂得利用別人的代碼，自己并沒(méi)有動(dòng)手能力，這種黑客被稱為“ScriptKids”，即腳本小子。在現(xiàn)實(shí)世界里，真正造成破壞的，往往并非那些挖掘并研究漏洞的“黑客”們，而是腳本小子。在目前已經(jīng)形成產(chǎn)業(yè)的計(jì)算機(jī)犯罪、網(wǎng)絡(luò)犯罪中，造成主要破壞的，也是這些腳本小子。中國(guó)黑客的發(fā)展中國(guó)黑客發(fā)展史一共經(jīng)歷了三個(gè)時(shí)代：?jiǎn)⒚蓵r(shí)代黃金時(shí)代黑暗時(shí)代中國(guó)黑客的發(fā)展啟蒙時(shí)代20世紀(jì)90年代，此時(shí)中國(guó)得互聯(lián)網(wǎng)剛剛起步，是中國(guó)互聯(lián)網(wǎng)開(kāi)始發(fā)展的萌芽時(shí)期，一些熱愛(ài)新興技術(shù)的青年受到國(guó)外黑客技術(shù)的影響，開(kāi)始研究安全漏洞，大多都是個(gè)人愛(ài)好。這個(gè)時(shí)期，各地電腦發(fā)燒友最大的樂(lè)趣就是復(fù)制一些小游戲和DOS等軟件產(chǎn)品，這一類被稱為“竊客”。隨著中國(guó)大中城市互聯(lián)網(wǎng)的信息港已經(jīng)初具規(guī)模，在這樣的環(huán)境條件下，產(chǎn)生了眾多的黑客，他們掌握的技術(shù)主要是郵箱炸彈，后來(lái)誕生了特洛伊木馬，也就是網(wǎng)絡(luò)間諜NetSpy，隨后少量的國(guó)產(chǎn)工具開(kāi)始小范圍流行于中國(guó)黑客之間。這些黑客起初都是對(duì)計(jì)算機(jī)領(lǐng)域的愛(ài)好、好奇心和強(qiáng)烈的求知欲，他們崇尚自由、喜歡分享，經(jīng)驗(yàn)和資源都是免費(fèi)提供，技術(shù)在他們看上去是最有價(jià)值的。中國(guó)黑客的發(fā)展黃金時(shí)代以2001年4月4日開(kāi)始的“中美黑客大戰(zhàn)”作為標(biāo)志，在這個(gè)背景下，黑客這個(gè)特殊的群體一下子幾乎引起了社會(huì)的所有眼球。此次黑客大戰(zhàn)主要在各自的互聯(lián)網(wǎng)上植入一些出氣的文章和頁(yè)面。中美黑客大戰(zhàn)真實(shí)還原場(chǎng)景中國(guó)黑客的發(fā)展黃金時(shí)代以上是一些真實(shí)的場(chǎng)景，比如美國(guó)的某個(gè)網(wǎng)名，打開(kāi)他們的電商網(wǎng)站，就會(huì)彈出類似窗口。此時(shí)黑客圈子所宣揚(yáng)的文化以及黑客技術(shù)的獨(dú)特魅力，吸引了無(wú)數(shù)青少年走上這條道路。此后，各種黑客組織雨后春筍般的冒出。此階段的中國(guó)黑客，由于新人較多，雖然有活力和激情，但是技術(shù)上還不夠成熟。所謂林子大了，什么鳥(niǎo)都有，此時(shí)期在黑客圈子里販賣漏洞，惡意軟件的現(xiàn)象就開(kāi)始升溫，群體良莠不齊，也就開(kāi)始出現(xiàn)了以營(yíng)利為目的的攻擊行為，黑色產(chǎn)業(yè)鏈逐漸成型。中國(guó)黑客的發(fā)展黑暗時(shí)代在這個(gè)時(shí)期，黑客也循著社會(huì)的發(fā)展規(guī)律，優(yōu)勝劣汰，大多是黑客組織并沒(méi)有堅(jiān)持下來(lái)。在上個(gè)時(shí)期的黑客技術(shù)論壇越來(lái)越缺少人氣，最終走向沒(méi)落。所有門(mén)戶型的漏洞披露站點(diǎn)，也不再公布任何漏洞相關(guān)的技術(shù)細(xì)節(jié)。隨著安全行業(yè)發(fā)展，黑客的功利性越來(lái)越強(qiáng)。黑色產(chǎn)業(yè)鏈開(kāi)始成熟。這個(gè)地下產(chǎn)業(yè)每年會(huì)給互聯(lián)網(wǎng)造成數(shù)十億甚至百億的損失。在上一個(gè)時(shí)期技術(shù)還不成熟的黑客們，凡是堅(jiān)持下來(lái)的，都已經(jīng)成長(zhǎng)為安全領(lǐng)域的高級(jí)人才，有的在安全公司貢獻(xiàn)著自己的專業(yè)技能，有的則帶著非常強(qiáng)的技術(shù)進(jìn)入了黑色產(chǎn)業(yè)。此時(shí)期的黑客群體，因?yàn)榛ハ嘀g不再具有開(kāi)發(fā)和分享的精神，最為純粹的黑客精神實(shí)質(zhì)上已經(jīng)死亡。中國(guó)黑客的發(fā)展黑暗時(shí)代如今的黑客隊(duì)伍，會(huì)分為三種顏色的帽子。黑帽子：利用黑客技術(shù)造成破壞，轉(zhuǎn)為黑色產(chǎn)業(yè)，提供資源，販賣漏洞，給商業(yè)帶來(lái)?yè)p失，甚至進(jìn)行網(wǎng)絡(luò)犯罪；灰帽子：白天良好公民，正常上班，半夜干壞事；白帽子：從事網(wǎng)絡(luò)安全行業(yè)，針對(duì)攻擊手段制作防護(hù)工具和解決方案，工作在反黑客領(lǐng)域。Web安全發(fā)展在早期互聯(lián)網(wǎng)中，Web并非互聯(lián)網(wǎng)的主流應(yīng)用。一方面是因?yàn)閃eb技術(shù)還沒(méi)發(fā)展起來(lái)，不夠成熟；另一方面通過(guò)系統(tǒng)軟件漏洞往往能獲得很高的權(quán)限。相對(duì)來(lái)說(shuō)，基于SMTP、POP3、FTP、IRC等協(xié)議的服務(wù)擁有著絕大多數(shù)的用戶，因此主要的攻擊目標(biāo)是網(wǎng)絡(luò)、操作系統(tǒng)以及軟件等領(lǐng)域，Web安全領(lǐng)域的攻擊與防御技術(shù)處于非常原始的階段。相對(duì)于那些攻擊系統(tǒng)軟件的exploit而言，基于Web的攻擊，一般只能讓黑客獲得一個(gè)較低權(quán)限的賬戶，對(duì)黑客的吸引力遠(yuǎn)遠(yuǎn)不如直接攻擊系統(tǒng)軟件。但是時(shí)代在發(fā)展，防火墻技術(shù)的興起改變了互聯(lián)網(wǎng)安全的格局。尤其是以思科、華為、深信服等代表的網(wǎng)絡(luò)設(shè)備廠商，開(kāi)始在網(wǎng)絡(luò)產(chǎn)品中更加重視網(wǎng)絡(luò)安全，最終改變了互聯(lián)網(wǎng)安全的走向。防火墻、ACL技術(shù)的興起，使得直接暴露在互聯(lián)網(wǎng)上的系統(tǒng)得到了保護(hù)。Web安全發(fā)展2003年的沖擊波蠕蟲(chóng)是一個(gè)里程碑式的事件，該漏洞針對(duì)Windows操作系統(tǒng)RPC服務(wù)（運(yùn)行在445端口）的蠕蟲(chóng)，處理通過(guò)TCP/IP的消息交換的部分，攻擊者通過(guò)TCP135端口，向遠(yuǎn)程計(jì)算機(jī)發(fā)送特殊形式的請(qǐng)求，允許攻擊者在目標(biāo)機(jī)器上獲得完全的權(quán)限并以執(zhí)行任意代碼。在很短的時(shí)間內(nèi)席卷了全球，造成了數(shù)百萬(wàn)機(jī)器被感染，損失難以估量。在此次事件后，網(wǎng)絡(luò)運(yùn)營(yíng)商很堅(jiān)決地在骨干網(wǎng)絡(luò)上屏蔽了135、445等端口的連接請(qǐng)求。此次事件之后，整個(gè)互聯(lián)網(wǎng)對(duì)于安全的重視達(dá)到了一個(gè)空前的高度。運(yùn)營(yíng)商、防火墻對(duì)于網(wǎng)絡(luò)的封鎖，使得暴露在互聯(lián)網(wǎng)上的非Web服務(wù)越來(lái)越少，且Web技術(shù)的成熟使得Web應(yīng)用的功能越來(lái)越強(qiáng)大，最終成為了互聯(lián)網(wǎng)的主流。黑客們的目光，也漸漸轉(zhuǎn)移到了Web上。Web安全發(fā)展Web攻擊技術(shù)的發(fā)展也可以分為幾個(gè)階段。在Web1.0時(shí)代，人們更多的是關(guān)注服務(wù)器端動(dòng)態(tài)腳本的安全問(wèn)題，比如將一個(gè)可執(zhí)行腳本（俗稱WebShell）上傳到服務(wù)器上，從而獲得權(quán)限。動(dòng)態(tài)腳本語(yǔ)言的普及，以及Web技術(shù)的發(fā)展初期，對(duì)安全問(wèn)題認(rèn)知的不足導(dǎo)致很多“血案”的發(fā)展，同時(shí)也遺留下很多歷史問(wèn)題。比如PHP語(yǔ)言至今仍然只能靠較好的代碼規(guī)范來(lái)保證沒(méi)有文件包含漏洞，而無(wú)法從語(yǔ)言本身杜絕此類安全問(wèn)題的發(fā)生。Web安全發(fā)展SQL注入的出現(xiàn)是Web安全史上的一個(gè)里程碑，它最早出現(xiàn)大概是1999年，并很快就成為Web安全的頭號(hào)大敵。就如同緩沖區(qū)溢出出現(xiàn)時(shí)一樣，程序員們不得不日以繼夜地去修改程序中存在的漏洞。黑客們發(fā)現(xiàn)通過(guò)SQL注入攻擊，可以獲取很多重要的、敏感的數(shù)據(jù)，甚至能夠通過(guò)數(shù)據(jù)庫(kù)獲取系統(tǒng)訪問(wèn)權(quán)限，這種效果不比直接攻擊系統(tǒng)軟件差，Web攻擊瞬間流行起來(lái)。SQL注入漏洞至今仍然是Web安全領(lǐng)域中的一個(gè)重要組成部分。XSS（跨站腳本攻擊）的出現(xiàn)則是Web安全史上的另一個(gè)里程碑。實(shí)際上，XSS的出現(xiàn)時(shí)間和SQL注入差不多，但是真正引起人們重視則是在大概2003年以后，在經(jīng)歷了MySPace的XSS蠕蟲(chóng)事件后（它在20小時(shí)內(nèi)感染了100萬(wàn)個(gè)賬戶），安全界對(duì)XSS的重視程度提高了很多，OWASPTop10（2007）甚至把XSS放在榜首。Web安全發(fā)展伴隨著Web2.0的興起，XSS、CSRF等攻擊已經(jīng)變的更為強(qiáng)大。Web攻擊的思路也從服務(wù)端轉(zhuǎn)向客戶端，轉(zhuǎn)向了瀏覽器和用戶。黑客們天馬行空的思路，覆蓋了Web的每一個(gè)環(huán)節(jié)，變得更加的多樣化，這些安全問(wèn)題在后面課程中會(huì)深入的探討。Web技術(shù)發(fā)展到今天，構(gòu)建了豐富多彩的互聯(lián)網(wǎng)。互聯(lián)網(wǎng)業(yè)務(wù)的蓬勃發(fā)展，也催生了許多新興的腳本語(yǔ)言，比如Python、Ruby、NodeJS等敏捷開(kāi)發(fā)成為互聯(lián)網(wǎng)的主旋律。而手機(jī)技術(shù)、移動(dòng)互聯(lián)網(wǎng)的興起，也給HTML5帶來(lái)了新的機(jī)遇和挑戰(zhàn)。同時(shí)，Web安全技術(shù)，也將緊跟著互聯(lián)網(wǎng)發(fā)展的腳步，不斷地演化出新的變化。Web安全事件分析新浪微博攻擊事件2011年6月28日晚新浪微博遭受攻擊，新浪微博突然出現(xiàn)大范圍“中毒”，大量用戶自動(dòng)發(fā)送“建黨大業(yè)中穿幫的地方”、“個(gè)稅起征點(diǎn)有望提到4000”、“郭美美事件的一些未注意到的細(xì)節(jié)”、“3D肉團(tuán)團(tuán)高清普通話版種子”等帶鏈接的微博與私信，并自動(dòng)關(guān)注一位名為hellosamy的用戶。20:14，開(kāi)始有大量帶V的認(rèn)證用戶中招轉(zhuǎn)發(fā)蠕蟲(chóng)20:30，2中的病毒頁(yè)面無(wú)法訪問(wèn)20:32，新浪微博中hellosamy用戶無(wú)法訪問(wèn)21:02，新浪漏洞修補(bǔ)完畢影響：該攻擊持續(xù)16分鐘，感染用戶達(dá)到33000人左右。Web安全事件分析新浪微博攻擊事件Web安全事件分析新浪微博攻擊事件首先，黑客通過(guò)對(duì)新浪微博的分析測(cè)試，發(fā)現(xiàn)新浪名人堂部分由于代碼過(guò)濾不嚴(yán)，導(dǎo)致XSS漏洞的存在，并可以通過(guò)構(gòu)造腳本的方式植入惡意代碼。通過(guò)分析發(fā)現(xiàn)，在新浪名人堂部分中，當(dāng)提交/pub/star/g/xyyyd">?type=update時(shí)，新浪會(huì)對(duì)該字符串進(jìn)行處理，變成類似/pub/star.php?g=xyyyd">?type=update，而由于應(yīng)用程序沒(méi)有對(duì)參數(shù)g做充足的過(guò)濾，且將參數(shù)值直接顯示在頁(yè)面中，相當(dāng)于

在頁(yè)面中嵌入了一個(gè)來(lái)自于2的