- Web 服务是动态交互(双向);
- Web 服务使用广泛而且信誉非常重要;
- Web 服务器难以设置,底层软件复杂,隐藏安全漏洞;
- 编写和使用 Web 服务的用户安全意知趣对单薄,相干的脚本步伐易出现安全题目。
—— 攻击与破坏事件层出不穷,需要安全 Web 服务。
Web 安全威胁的分类
- 主动攻击:伪装成其他用户、窜改C/S之间信息 或 窜改Web站点信息(难预防但易检测)
- 被动攻击:监听数据流获取信息或进行信息量分析(难检测但易预防)
- 对 Web 服务器的安全威胁
- 对 Web 浏览器的安全威胁
- 对通信信道的安全威胁
Web 安全威胁与对策
12.1.1 对 Web 服务器的安全威胁
Web 服务越强大,包含安全漏洞概率就越高。
HTTP 服务可在不同权限下运行:
- 高权限下提供更大灵活性,允许步伐执行全部指令,并不受限制地访问系统高敏感的特权地区;
- 低权限下在所运行步伐四周设置逻辑栅栏,只允许它运行部门指令和访问系统中不敏感的数据区。
大多数情况下 HTTP 服务只需运行在低权限下。
12.1.2 对 Web 浏览器的安全威胁
活动内容:静态页面 中嵌入的对用户透明的步伐 —— 表现动态图像、下载和播放音乐等。
原来由服务器完成的辅助功能转交给空闲的浏览器。
用户查看这种页面时,它们会主动下载并在浏览器上运行。
破坏浏览器的人将破坏性的活动内容放进看起来无害的页面。
12.1.3 对通信信道的安全威胁
- 监听步伐 会威胁通信信道中所传输信息的 机密性
- 伪造、窜改、重放 会威胁所传输信息的 完备性
- 缺乏身份认证 使得假冒他人身份进行 中心人攻击
- 缺乏数字签名机制 使得通信双方能 相互攻击
- 拒绝服务攻击 使得通信信道不能保证 可用性
12.2 Web 安全的实现方法
===================================================================================
从网络下载步伐并在本机运行,就相当于担当步伐开辟者的控制——没有一个操作系统能控制一个已经开始执行的步伐的权限。
基于网络层实现 Web 安全
IPSec 提供端到端的安全机制,是一个通用办理方案。
各种应用步伐不需修改就可享用 IPSec 提供的安全机制,也减少了安全漏洞的产生。
基于传输层实现 Web 安全
SSL 或 TLS 可作为根本协议栈的构成部门,对应用透明;也可直接嵌入到浏览器中使用。
使用 SSL 或 TLS 后,传送的应用层数据会被加密,从而保证通信的安全。
基于应用层实现 Web 安全
特定安全服务为特定应用定制表现,将安全服务直接嵌入在应用步伐中。
12.3 SSL协议
=============================================================================
12.3.1 SSL概述
- Secure Socket Layer,安全套接层协议,会话层,由 Netscape 推出。
- 重要实现 Web 服务器和浏览器之间的安全通信。
- 在 应用层协议 和 TCP/IP 协议之间提供机密性、完备性、服务器认证及可选的客户机认证的机制。
SSL协议栈
- 介于 HTTP 与 TCP 之间的一个可选层,绝大多数应用层协议可直接创建在 SSL 之上。
- SSL 不是一个单独的协议,而是两层协议。
SSL实现的安全服务
SSL握手协议 :用公开加密算法验证服务器身份,并传递客户端产生的对称的会话密钥(先)
SSL记载协议 :用会话密钥来加/解密数据(后)
- 机密性:SSL 客户机和服务器之间传送加密数据。
- 完备性:SSL 可避免服务器和客户机之间的信息被破坏。
- 认证性:SSL 握手时要求交换证书,通过验证证书来保证对方身份的合法性。
SSL的认证和不可否认性
- 客户机认证是可选的,否则客户端都得有数字证书并内置相应组件,代价高。
- SSL不能提供不可否认性 ,Communicator 4.04浏览器引入“表单签名(Form Signing)”功能。
- 它对电子商务中包含购买者的订购信息和付款指令的表单进行数字签名。
12.3.2 更改密码规格协议
Change Cipher Spec Protocol 具有以下特性:
- 位于SSL记载协议之上。
- ContentType=20。
- 协议只包含一条消息(一个值为1的字节)。
把未决状态设置为当前状态,更新当前毗连的密钥组,这标志着加密计谋的改变。
12.3.3 告诫协议
Aler t消息:当握手过程或数据加密等出错或发生异常时,为对等实体传递SSL告诫或终止当前毗连。
Alert Protocol具有以下特性:
- 位于SSL记载协议之上。
- ContentType=21。
- 协议包含两个字节:告诫级别和告诫代码。
12.3.4 SSL记载协议
=================================================================================
Record Protocol 形貌SSL信息交换过程中的记载格式。
全部数据(含SSL握手信息)都被封装在记载中,一个记载由两部门构成:记载头和数据。
SSL记载协议的操作步骤:
- 将数据分段成可操作的数据块
- 对分块数据进行数据压缩
- 盘算 MAC 值
- 对压缩数据及MAC值加密
- 加入 SSL 记载头
- 在 TCP 中传输结果单元
SSL记载头:
内容类型(ContentType):用于处理分段的上层协议类型。
协议版本(ProtocolVersion):标明SSL版本号。
压缩长度(Length):原文分段长度或压缩分段长度。
12.3.5 SSL握手协议
=================================================================================
Handshake Protocol 的协商结果是 SSL记载协议处理的根本,ContentType 为 22。
协议头有三个部门:
- 消息类型(1B)
- 消息长度(3B)
- 内容(1B):与该消息有关的参数
SSL v3.0 的握手过程用到三种协议:握手协议 、更改密码规格协议 和 告诫协议 。
SSL握手消息及参数
SSL的握手过程
握手协议的 Hello 阶段
—— 协商协议版本、会话ID、密码组、压缩算法、交换随机数等。
(1)Client Hello消息
- 客户端将版本号、随机数、会话ID、支持的密码算法组合和压缩算法发给服务器供其选择。
(2)Server Hello消息
- 该消息做出决定并将决定传回客户端:版本号、会话ID、服务器随机数、选择的密码算法组合和压缩算法。
握手协议的 Key Agreement 阶段
自我先容一下,小编13年上海交大结业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己探索发展,但自己不成体系的自学结果低效又漫长,而且极易碰到天花板技能停滞不前!
黑客/网络安全学习路线
L1级别:网络安全的根本入门
L1阶段:我们会去了解盘算机网络的根本知识,以及网络安全在行业的应用和分析;学习理解安全根本的核心原理,关键技能,以及PHP编程根本;通过证书考试,可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。
L2级别:网络安全的技能进阶
L2阶段我们会去学习渗透测试:包罗情报网络、弱口令与口令爆破以及各大类型漏洞,还有漏洞挖掘和安全检查项目,可加入CISP-PTE证书考试。
L3级别:网络安全的高阶提升
L3阶段:我们会去学习反序列漏洞、RCE漏洞,也会学习到内网渗透实战、靶场实战和技能提取技能,系统学习Python编程和实战。加入CISP-PTE考试。
L4级别:网络安全的项目实战
L4阶段:我们会更加深入进行实战训练,包罗代码审计、应急响应、红蓝对抗以及SRC的挖掘技能。并学习CTF夺旗赛的要点和刷题
整个网络安全学习路线L1重要是对盘算机网络安全的理论根本的一个学习掌握;而L3 L4更多的是通过项目实战来掌握核心技能
网络安全学习资源分享:
给各人分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你预备了详细的学习发展路线图。可以说是最科学最系统的学习路线,各人跟着这个大的方向学习准没题目。
因篇幅有限,仅展示部门资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取
读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)
|
