《圖解HTTP》第十章、第十一章

《圖解HTTP》完整目錄? >>

第10章　構建Web內容的技術

HTML?超文本標記語言

目前的HTML標準：HTML 5，解決瀏覽器間兼容問題，并可把文本作為數據對待，更容易復用，動畫等效果也更生動。

HTML文檔標簽< >

CSS（Cascading Style Sheets，層疊樣式表）：指定如何展現HTML的各種元素，讓文檔結構與設計分離，達到解耦的作用

動態HTML 技術使用：客戶端腳本語言 JavaScript+ DOM（Document Object Model，文檔對象模型）

DOM?是用以操作 HTML 文檔和 XML 文檔的 API（ApplicationProgramming Interface，應用編程接口）。使用 DOM 可以將 HTML 內的元素當作對象操作.

Web的應用

Web應用是指通過Web功能提供的應用程序

由

程序創建的內容

稱為動態內容，而

事先準備好的

內容稱為靜態內容。Web 應用則作用于動態內容之上。

CGI（Common Gateway Interface，通用網關接口）是指 Web 服務器在接收到客戶端發送過來的請求后轉發給程序的一組機制。使用 CGI 的程序叫做 CGI 程序。

Servlet是一種能在服務器上創建動態內容的程序。Servlet 是用 Java語言實現的一個接口。比CGI運行負載小。

數據分布的格式及語言

1.XML（eXtensible Markup Language，可擴展標記語言）是一種可按應用目標進行擴展的通用標記語言，目的是讓互聯網數據共享變得更容易。（相比于HTML而言，XML的結構基本上都是用標簽分割而成的樹形結構）

2.RSS（簡易信息聚合或聚合內容）/Atom?發布新聞或博客日志等更新信息文檔的格式的總稱，用到?XML

3.JSON?一種以JavaScript（ECMAScript）的對象表示法為基礎的輕量級

數據標記語言

。

目前火爆（前端框架：Vue，React 等；數據發布語言：XML，

JSON

）

第十一章 Web的攻擊技術

針對Web的攻擊技術

在客戶端篡改請求（在web應用中，從瀏覽器那里接受到的HTTP請求的全部內容，都可以在客戶端自由的變更、篡改）

針對Web應用的攻擊模式：

（1）主動攻擊，直接（代表：SQL 注入攻擊和 OS 命令注入攻擊）；

（2）被動攻擊，圈套誘導（代表：跨站腳本攻擊和跨站點請求偽造。）

因輸出值轉義不完全引發的安全漏洞

實施 Web 應用的安全對策

（1）.客戶端的驗證

（2）.Web 應用端（服務器端）的驗證 :（1輸入值驗證；（2輸出值轉義

? 跨站腳本攻擊XSS：通過存在安全漏洞的Web 網站

注冊用戶

的瀏覽器內運行

非法的

HTML 標簽或 JavaScript 進行的一種攻擊。一般在動態生成HTML處發生。危害：獲取個人信息、偽造文章圖片、竊取用戶Cookie值，發送惡意請求。

? SQL 注入攻擊：是指針對 Web 應用使用的數據庫，通過運行非法的 SQL 而產生的攻擊。危害：篡改數據、規避認證、執行和數據庫服務器業務關聯的程序等。

（SQL 是用來操作關系型數據庫管理系統的

數據庫語言

。 舉例：SELECT * FROM xxx）

? OS 命令注入攻擊：通過web應用，執行非法的操作系統命令。

? HTTP首部注入攻擊：是指攻擊者通過在

響應首部

字段內插入

換行

，添加任意響應首部或主體的一種攻擊。屬于被動攻擊。危害：設置任何Cookie信息，重定向到任意URL、顯示任意主體（HTTP響應截斷攻擊：往首部主體內添加內容）

? 郵件首部注入：是指Web應用中的郵件發送功能，攻擊者通過向郵件首部To或Subject內任意添加非法內容發起的攻擊。

? 目錄遍歷攻擊：是指對本

無意公開

的文件目錄，通過非法截斷其目錄路徑后，達成訪問目的的一種攻擊。

? 遠程文件包含漏洞：是指當部分腳本內容需要從其他文件讀入時，攻擊者利用指定外部服務器的 URL 充當依賴文件，讓腳本讀取之后，就可運行任意腳本的一種攻擊。

因設置或設計上的缺陷引發的安全漏洞

? 強制瀏覽：從安置在Web服務器的公開目錄下的文件中，瀏覽非自愿公開的文件。危害：泄露個人信息、泄露無權限信息、泄露未外連到外界的文件

? 不正確的錯誤消息處理：指在瀏覽界面展現詳細的錯誤提示信息給攻擊者啟發

? 開放重定向：對指定的任意URL做重定向的功能，會誘導至惡意網站

因會話管理疏忽引發的安全漏洞

? 會話劫持：非法獲取用戶會話ID，非法使用ID偽裝成用戶

? 會話固定攻擊：強制用戶使用攻擊者的會話ID（如引誘用戶認證，認證后ID變為認證狀態給攻擊者利用），屬于被動攻擊

? 跨站點請求偽造CSRF：是指攻擊者通過設置好的陷阱，強制對已完成認證的用戶進行非預期的個人信息或設定信息等某些狀態更新，屬于被動攻擊。

其他安全漏洞

? 密碼**：（1）密碼試錯[窮舉法、字典法：猜測可能值保存為字典….]；（2）對已加密密碼的**（指攻擊者入侵系統，已獲得加密或散列處理的密碼數據的情況）

? 點擊劫持：是指利用透明的按鈕或鏈接做成陷阱進行不知情點擊，又稱界面偽裝

? DoS 攻擊：集中利用訪問請求造成資源過載或服務停止。多臺計算機發起為DDOS攻擊。

? 后門程序：指開發設置的隱藏入口

END

雖意猶未盡，但《圖解HTTP》的筆記整理于此就結束啦，完整目錄（點擊），想要詳細學習的伙伴們可以進一步學習《HTTP權威指南》，讓我們期待下一本書的開始，BY~~

END

HTTP 網絡 通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。