HTTPS及web安全相关知识

HTTPS = 【HTTP】+ 【加密】+ 【认证】+【完整性保护】
HTTPS比HTTP慢2到100

HTTP 的缺点

  • 通信使用**明文(不加密),内容可能会被**窃听HTTP 本身不具备加密功能
  • 不验证通信方的身份**,有可能在于**伪装

  • 无法验证报文的完整性,报文有可能被**篡改**

    HTTPS 介绍

    HTTPS = 【HTTP】+ 【加密】+ 【认证】+【完整性保护】
    HTTPS 并非是应用层的的新协议,知识http通信接口部分用SSL和TLS协议替代而已,通常HTTP直接和TCP通信。当使用SSL时,则演变成先和SSL通信,再由SSL和TCP通信。

    加密技术

  • 通信的加密 :比如ssl ( 安全套接层 ) 或 tls ( 安全层传输协议 ) 的组合使用以此加密HTTP的通信内容

  • 内容的加密 :对报文进行加密后在发送,要求客户端和服务端同时具备加密和解密机制

    加密方法

    近代加密算法中加密算法是公开的,密钥是保密的,加密和解密通用一个密钥的方式称为共享密钥加密,也称作对称密钥加密

  • 共享密钥加密的缺点:密钥交换时是不安全的,如果在密钥交换的图中密钥被监听,那么就失去了加密的意义。

  • 公开密钥加密: 使用一对非对称的密钥,一把叫私有密钥,一把叫共有密钥。私有密钥不得让任何人直到,公开密钥则可以随意发布。报文发送时使用公开密钥加密,接收方使用私有密钥解密。

  • HTTPS采用混合的加密方式 : 在交换密钥的环节使用公开密钥加密方式,待密钥交换完成后则使用共享密钥加密的方式,以较快处理速度。

    web 攻击技术

    WEB 服务器上的应用和资源是攻击的目标

    5.1 针对web应用的攻击技术

  • 主动攻击 【SQL注入攻击】 【OS命令注入攻击】

  • 被动攻击 【跨站脚本攻击】 【跨站请求伪造】

    5.2 跨站脚本攻击 【XSS】

    通过存在安全隐患的Web网站注册用户的浏览器运行非法的HTML标签或者JS进行攻击
    可能造成的影响:
  1. 利用虚假表单骗取个人信息
  2. 利用脚本窃取用户的cookie, 在用户不知情的情况下帮助攻击者发送恶意请求

  3. 显示伪造的文章或图片

    5.3 SQL注入攻击

    通过运行非法的SQL语句产生攻击 可能产生的影响

  4. 非法查看或篡改数据库内的数据

  5. 规避认证
  6. 执行和数据库服务器关联的程序等

    5.4 强制浏览

    从安置在web服务器上的公开的文件目录中,浏览哪些非资源公开的文件,从而导致信息泄露 【网站设计的漏洞】