web安全 - 图文

web安全介绍与基础入门知识——课程概要

一．web应用安全发展与介绍

1.安全与安全圈

中国黑客的发展是一个波折的过程

1990年代初，部分人开始研究黑客技术（代表人物：马化腾）

1997-1999年，黑客团队涌现，进入黄金时代（中国红客联盟、中国黑客联盟、鹰派联盟。。。）

21世纪初，黑客工具傻瓜化，门槛低，黑客精神不在 今天，希望是安全的春天

圈内常识

安全团队所在的公司主要分为两类

1.甲方与乙方

甲方，如腾讯、阿里等需要安全服务的公司（这类公司拥有自己的安全团队，保障自己产品的安全）

乙方，提供安全服务、产品的服务型安全公司

2.web与二进制：

Web，研究web安全的

二进制，研究如客户端安全等（浏览器安全的 ，客户端安全的）

那些圈内熟识的安全公司

绿盟、知道创宇、安天、启明星辰、安恒、天融信....

2.web应用与web安全的发展

Web安全，也可以叫做web应用安全。

Web应用经历了开始、1.0以及现在3.0概念的出现，不断发展

20世纪60年代IBM的GML（通用标记语言）以及发展到后来的SGML（标准通用标记语言）

20世纪90年代，HTML出现 浏览器的出现与发展

2004之后，XMLHttpRequest的出现将web推向2.0时代 而现在，开始出现web3.0的概念

Web安全跟随着web应用的发展也不断发展着

Web1.0时代，更多被关注的是服务器端的脚本安全问题，如SQL注入等

Web2.0时代，2005年Samy蠕虫的爆发震惊了世界，web安全战场有服务器端转换到浏览器

SQL注入和XSS的出现分别是web安全史上两个里程碑

3.web安全隐患与本质

Web安全的本质是信任问题

由于信任。正常处理用户恶意的输入导致问题的产生 非预期的输入

安全是木桶原理，短的那块板决定木桶到底能成多少水，同样的，假设吧99%的问题都处理了，那么1%的遗留就会是造成安全问题的那块短板。

二、HTTP协议与会话管理

例子：访问百度过程

首先当我们访问一个网址的时候，这中间发生的事情？ ·输入网址

·浏览器查找域名的IP地址

·浏览器给web服务器发送一个HTTP请求 ·服务器处理请求

·服务器发回一个HTTP响应 ·浏览器渲染显示HTML

让我们来看一个URL（统一资源定位器）

Session与cookie的区别

Cookie数据保存在客户端 Session数据保存在服务器 1.Web应用的组成与网页的渲染 2.浏览器特性与安全策略