20159315《网络攻防实践》第五周学习总结

20159315《网络攻防实践》第五周学习总结#

教材学习总结##

1. Web应用程序体系结构

Web应用程序是一种使用浏览器在互联网或企业内部网上进行访问操作的应用软件形态。Web应用体系有浏览器作为客户端完成数据显示和展示内容的渲染；由功能强大的服务器完成主要业务的计算和处理，两者之间通过因特网或内联网上HTTP/HTTPS应用层协议的请求与应答进行通信。服务器端由Web服务器软件、Web应用程序与后端数据库构成，并通过经典三层架构：表示层、业务逻辑层、数据层三层来进行组织与构建。

2. Web应用体系每个组件所面临的典型安全威胁和攻击类型

• 针对浏览器和终端用户的Web浏览器安全威胁：具体包括以浏览器渗透为核心的网页木马，Phishing网站钓鱼等。
• 针对传输网络的网络协议安全威胁：针对HTTP明文传输协议的敏感信息监听，在网络层。传输层和应用层都存在的假冒身份攻击，以及拒绝服务攻击等。
• 系统层安全威胁：web站点的宿主操作系统存在的远程渗透攻击和本地渗透攻击威胁。
• web服务器软件安全威胁：web服务器软件如IIS,Apache作为一种典型的网络服务，攻击者可以它们的漏洞对web服务器实施渗透攻击或者获取敏感信息。
• web应用程序安全与威胁：程序员在使用ASP，PHP等脚本编程语言实现web应用程序时，由于缺乏安全意识或是有着不良的编程习惯，最终导致web应用程序出现安全漏洞，从而被攻击者渗透利用，包括SQL注入攻击，XSS跨站脚本攻击等。
• web数据安全威胁：web站点中在web应用程序后台存储的关键数据内容，以及web客户输入的数据内容，存在着被窃取，篡改及输入不良信息等威胁。

3.Web浏览器安全攻防

浏览器是互联网用户最常用的客户端软件，是各大IT公司激烈竞争的战场。激烈的商业竞争侧近了浏览器技术的不断创新和发展，基本结构和复杂性大大增加。现代Web浏览器软件除了在内核引擎中实现符合各种标准的基本功能外，普遍采用各种扩展机制允许第三方开发一些插件，提升浏览器功能的丰富性。Web浏览器也面临着软件安全困境三要素的问题：复杂性、可扩展性和连通性。

教材学习中的问题和解决过程##

对web编程和数据库的基础知识不太了解，在网上查询并学习了相关基础知识。

学习进度##

第五周进度###

学习了可本第11、12章。
练习了视频16-20集的操作。