图解HTTP网络（四）

第十章

HTML

• Web页面几乎全由HTML构建
• HTML的版本
• 设计应用CSS

动态HTML

• 让Web页面动起来的动态HTML
• 更易控制HTML的DOM
  • DOM是以操作HTML文档和XML文档的API(Application Programming Interface，应用编程接口)

Web应用

• 通过Web提供功能的Web应用
• 与Web服务器及程序协作的CGI
  • CGI(Common Gateway Interface，通用网关接口)是指Web服务器在接收到客户端发送过来的请求后转发给程序的一组机制
• 因Java而普及的Servlet
  • Servlet1是一种能在服务器上创建动态内容的程序

数据发布的格式及语言

• 可扩展标记语言
  • XML(eXtensible Markup Language，可扩展标记语言)是一种可按应用目标进行扩展的通用标记语言
• 发布更新信息的RSS/Atom
  • RSS(简易信息聚合，也称聚合内容)和Atom都是发布新闻或博客日志等更新信息文档的格式的总称。两者都用到了XML
• JavaScript衍生的轻量级应用JSON
  • 是一种以JavaScript(ECMAScript)的对象表示法为基础的轻量级数据标记语言。能够处理的数据类型有false/null/true/对象/数组/数字/字符串

第十一章

针对Web的攻击技术

• 应用HTTP协议的服务器和客户端，以及运行在服务器上的Web应用等资源才是攻击目标
• HTTP不具备必要的安全功能
• 在客户端即可篡改请求
• 针对Web应用的攻击模式
  • 以服务器为目标的主动攻击
  • 以服务器为目标的被动攻击

因输出值转义不完全引发的安全漏洞

• 跨站脚本攻击
• SQL注入攻击
• OS命令注入攻击
• HTTP首部注入攻击
• 邮件首部注入攻击
• 目录遍历攻击
• 远程文件包含漏洞

因设置或设计上的缺陷引发的安全漏洞

• 强制浏览
• 不正确的错误消息处理
• 开放重定向

因会话管理疏忽引发的安全漏洞

• 会话劫持
• 会话固定攻击
• 跨站点请求伪造

其他安全漏洞

• 密码破解
• 点击劫持
• DoS攻击
• 后门程序