如何高效利用网络技术来设计一个既实用又吸引人的网站？

建设网站采用的网络技术,设计网站 常用,福永网站设计多少钱,html情人节给女朋友做网站HTTP 一、针对Web的攻击技术1、HTTP 不具备必要的安全功能2、在客户端即可篡改请求3、针对Web应用的攻击模式 二、因输出值转义不完全引发的安全漏洞1、跨站脚本攻击2、SQL 注入攻击3、OS命令注入攻击4、HTTP首部注入攻击5、邮件首部注入攻击6、目录遍历攻击7、远程文件包含漏洞… HTTP 一、针对Web的攻击技术1、HTTP 不具备必要的安全功能2、在客户端即可篡改请求3、针对Web应用的攻击模式 二、因输出值转义不完全引发的安全漏洞1、跨站脚本攻击2、SQL 注入攻击3、OS命令注入攻击4、HTTP首部注入攻击5、邮件首部注入攻击6、目录遍历攻击7、远程文件包含漏洞 三、因设置或设计上的缺陷引发的安全漏洞1、强制浏览2、不正确的错误消息处理3、开放重定向 四、因会话管理疏忽引发的安全漏洞1、会话劫持2、会话固定攻击3、跨站点请求伪造 五、其他安全漏洞1、密码破解2、点击劫持3、Dos攻击4、后门程序 互联网上的攻击大都将 Web 站点作为目标。本章讲解具体有哪些攻击 Web 站点的手段以及攻击会造成怎样的影响。 一、针对Web的攻击技术 简单的 HTTP 协议本身并不存在安全性问题因此协议本身几乎不会成为攻击的对象。应用 HTTP 协议的服务器和客户端以及运行在服务器上的 Web 应用等资源才是攻击目标。 目前来自互联网的攻击大多是冲着 Web 站点来的它们大多把Web 应用作为攻击目标。本章主要针对 Web 应用的攻击技术进行讲解。 1、HTTP 不具备必要的安全功能 与最初的设计相比现今的 Web 网站应用的 HTTP 协议的使用方式已发生了翻天覆地的变化。几乎现今所有的 Web 网站都会使用会话session管理、加密处理等安全性方面的功能而 HTTP 协议内并不具备这些功能。 从整体上看HTTP 就是一个通用的单纯协议机制。因此它具备较多优势但是在安全性方面则呈劣势。 就拿远程登录时会用到的 SSH 协议来说SSH 具备协议级别的认证及会话管理等功能HTTP 协议则没有。另外在架设 SSH 服务方面任何人都可以轻易地创建安全等级高的服务而 HTTP 即使已架设好服务器但若想提供服务器基础上的 Web 应用很多情况下都需要重新开发。 因此开发者需要自行设计并开发认证及会话管理功能来满足 Web应用的安全。而自行设计就意味着会出现各种形形色色的实现。结果安全等级并不完备可仍在运作的 Web 应用背后却隐藏着各种容易被攻击者滥用的安全漏洞的 Bug。 2、在客户端即可篡改请求 在 Web 应用中从浏览器那接收到的 HTTP 请求的全部内容都可以在客户端自由地变更、篡改。所以 Web 应用可能会接收到与预期数据不相同的内容。 在 HTTP 请求报文内加载攻击代码就能发起对 Web 应用的攻击。通过 URL查询字段或表单、HTTP 首部、Cookie 等途径把攻击代码传入若这时 Web 应用存在安全漏洞那内部信息就会遭到窃取或被攻击者拿到管理权限。 3、针对Web应用的攻击模式 对 Web 应用的攻击模式有以下两种。 主动攻击被动攻击以服务器为目标的主动攻击 主动攻击active attack是指攻击者通过直接访问 Web 应用把攻击代码传入的攻击模式。由于该模式是直接针对服务器上的资源进行攻击因此攻击者需要能够访问到那些资源。 主动攻击模式里具有代表性的攻击是 SQL注入攻击和 OS 命令注入攻击。 以服务器为目标的被动攻击 被动攻击passive attack是指利用圈套策略执行攻击代码的攻击模式。在被动攻击过程中攻击者不直接对目标 Web 应用访问发起攻击。 被动攻击通常的攻击模式如下所示。 步骤 1 攻击者诱使用户触发已设置好的陷阱而陷阱会启动发送已嵌入攻击代码的 HTTP 请求。 步骤 2 当用户不知不觉中招之后用户的浏览器或邮件客户端就会触发这个陷阱。 步骤 3 中招后的用户浏览器会把含有攻击代码的 HTTP 请求发送给作为攻击目标的 Web 应用运行攻击代码。 步骤 4 执行完攻击代码存在安全漏洞的 Web 应用会成为攻击者的跳板可能导致用户所持的 Cookie 等个人信息被窃取登录状态中的用户权限遭恶意滥用等后果。 被动攻击模式中具有代表性的攻击是跨站脚本攻击和跨站点请求伪造。 利用用户的身份攻击企业内部网络 利用被动攻击可发起对原本从互联网上无法直接访问的企业内网等网络的攻击。只要用户踏入攻击者预先设好的陷阱在用户能够访问到的网络范围内即使是企业内网也同样会受到攻击。 很多企业内网依然可以连接到互联网上访问 Web 网站或接收互联网发来的邮件。