• Web安全你了解多少（一）- 搭建一个django网站

协议基础

HTTP定义了客户端如何从Web服务器请求Web页面，以及Web服务器如何把Web页面传送给客户端

1. 客户端连接到Web服务器

2. 发送HTTP请求

   通过TCP套接字，向Web服务器发送文本请求报文，一个请求报文由请求行、请求头部、空行和请求数据4部分组成

3. 服务器接收请求并返回HTTP响应

   Web服务器解析请求，定位请求资源，将资源副本写到TCP套接字，由客户端读取

   一个完整的响应 由状态行、响应头部、空行（请求空行）和响应数据（请求体）4部分组成

4. 释放TCP连接

   返回响应之后，服务器检测connection状态，若connection模式为close，则服务器主动关闭TCP连接，客户端被动关闭连接，释放TCP连接

   若connection模式为keepalive，则该连接会保持一段时间，在该时间内可以继续接收请求

5. 客户端浏览器解析HTML内容

HTTP协议的组成结构

image.png

• 请求方法

  GET POST ， DELETE HEAD OPTIONS PUT TRACE

• GET/POST

  • 从参数传递方面来看

    GET直接拼接URL，POST参数是放在请求体里面

  • 从长度限制角度来讲

    GET一般不超过1024K，POST理论上没有，但浏览器可能有自己的限制

  • 从安全角度来讲

    GET明文，安全性低

    但是从本质上来说，GET POST都是TCP连接，并无本质的区别。由于HTTP/浏览器的限定，导致在应用过程中体现出一些不同。

    GET产生一个数据包，POST产生两个数据包

    GET请求，浏览器会把http header 和 data一并发出去，服务器响应200（返回数据）

    POST, 浏览器先发送header，服务器响应100 continue，浏览器再发送data，服务器响应200 ok

通过上一篇文章 Web安全你了解多少（一）- 搭建一个django网站 搭建的网站，对比下get post

对于访问资源来讲，GET是最主要的一个应用场景

image.png image.png image.png image.png

• HTTP请求方法 和 响应代码

image.png

Web安全起源

image.png

Web应用全都建立在http协议基础上，是对http协议的实际应用

在实现http协议的过程中，没有做到足够强大足够充足的约束，导致攻击者能够利用其中的薄弱环节进行攻击

web安全攻防要点

• 客户端脚本安全

  • 浏览器安全

  • 跨站脚本攻击（xss）

    • 反射型
    • 存储型
    • DOM型

  • 跨站点请求伪造（CSRF）

  • 点击劫持（Click Jacking）

  • 网页钓鱼

• 服务端应用安全

  • 认证与会话管理
  • 访问控制
  • 加密算法安全
  • SQL注入攻击
    • GET注入
    • POST注入
    • HTTP头注入
  • 文件上传漏洞
  • Web框架漏洞
  • 拒绝服务攻击 （应用层 传输层）
  • 开发语言安全
    • 文件包含漏洞
    • 变量覆盖漏洞
    • 代码执行漏洞
  • Web Server配置安全(容器配置) - 远程命令执行

• 业务逻辑安全

• Web安全你了解多少（三）- 工具的使用