网络攻防第五次作业

教材学习

Web应用程序安全攻防

1.Web应用程序体系结构

Web应用程序是一种使用浏览器在互联网或企业内部网上进行访问操作的应用软件形态，通常以浏览器支持的语言所编写，或能够在浏览器控制的环境中运行，依赖于浏览器来对应用程序进行渲染与执行。天生多平台兼容性。WEB应用程序一般是B/S模式。Web应用程序首先是“应用程序”，和用标准的程序语言，如C、C++等编写出来的程序没有什么本质上的不同。然而Web应用程序又有自己独特的地方，就是它是基于Web的，而不是采用传统方法运行的。换句话说，它是典型的浏览器/服务器架构的产物。
Web应用体系结构：以浏览器作为“瘦”客户端主要完成数据显示与展示内容的渲染功能：
“胖”服务器负责完成主要业务的计算处理。两者之间通过因特网或内联网上的HTTP/HTTPS应用层协议的请求与应答进行通信。“胖”服务器端则由Web服务器软件、Web应用程序及后端数据库构成，并通过经典的三层构架，即表示层、业务逻辑层、数据层来进行组织与构建。

浏览器
标准的Web客户端就是我们熟知的浏览器，如IE、Firefox、Chrome等。他们都使用HTTP/HTTPS协议、HTML语言和Web服务器进行交互，获取Web服务器上的信息和应用服务。
Web服务器
Web服务器软件通常被简单的称为HTTP守护程序，接受Web客户端对资源的请求，在这些请求上执行一些基本的接习处理以确定资源的存在，然后将它传送给Web应用程序来执行，待Web应用程序执行完逻辑并返回相应时，Web服务器再将这个相应返回给Web客户端，在浏览器上进行本地执行、渲染和展示。
Web应用程序
现代Web应用的核心时处于服务器端的业务逻辑，即Web应用程序。每层的具体功能参考网络攻防技术与实践的429页。
数据库
数据库有时候被称为后台，Web应用存储应用数据的地方，数据层也作为Web应用程序多级结构中的最后一层。
传输协议HTTP/HTTPS
浏览器和Web服务器、Web应用程序和数据库所构成的Web站点之间的通信传输协议是HTTP/HTTPS协议。

2.Web应用程序安全性威胁

目前的一些主流攻击方式有注入式攻击、跨站脚本攻击、CSRF攻击以及ddos攻击，这几类攻击都已经形成了比较成熟的防御措施。

注入漏洞涉及的内容非常广泛，涵盖了各种语言环境和众多不同的攻击类型，在实际防护中一般通过验证方式的改良和修复得以实现。跨站攻击的方式是以服务器端应用为主要目标，目前最常见的解决方法还是通过js函数过滤进行防护。应用层ddos攻击是国内非常常见也是最难以防范的攻击手段，其根本原理是通过大批量的发送请求来非法占用服务资源，目前只能通过跨代理查询屏蔽ip的方式进行阻止。

SQL注入攻击：SQL注入攻击是最为常见的Web应用程序攻击技术，它会试图绕过SQL命令。在用户输入没有“净化”时，如果执行这种输入便会表现出一种SQL注入漏洞。检查SQL注入漏洞主要涉及到两方面，一是审计用户的Web应用程序，二是通过使用自动化的SQL注入扫描器执行审记的最佳方法。其防范措施有：SQL注入攻击的防范措施
1）.使用安全类型的参数编码机制；
2）.凡是来自外部的输入，必须进行完备检查；
3）.将动态SQL语句替换为存储过程、预编译SQL或ADO命令对象；
4）.加强SQL数据库服务器的配置与连接。