WEB攻击与防护技术 徐 震 信息安全国家重点实验室 提纲 一、背景概述 二、典型攻击 三、攻防原理 四、防护产品体系 1.1.技术背景 n Web成为主流的网络和应用技术 q CNCERT/CC 网络安全监测系统对流量数据进行的抽样统计 显示，Web 应用流量占整个TCP 流量的81.1% q B/S居统治地位：网上银行、电子商务、电子政务、证劵、 手机上网 3 （中国工程院）中 提出“十二五”期间，“面向核心应用的信息安全技术”是6大核 心技术研发领域之一，同时要“加强信息内容的安全保障工作”。 q 《电力二次系统安全防护规定》对电力行业信息安全作出体系规划 n 等级保护与WEB应用安全的相关要求： 9 1.4. 相关政策、法规（2） 级别 安全要求 第三级 网络安全： 访问控制（对进出网络的信息进行过滤，并使对 HTTP等协议进行命令级控制） 破坏，并采取必要的恢复措施） 第二级 网络安全： 入侵防范（木马、DDoS、缓冲区溢出） 安全审计 1.5.攻击案例 n 略 提纲 一、背景概述 二、典型攻击 三、攻防原理 四、防护产品体系 OWASP Top 10 – 2007 (Previous) OWASP Top 10 – 2010 (New) A2 – Injection Flaws A1 – Injection

json 文件中的其中某个 NPM 脚本 即可： // 运行所有 Mix 任务... npm run dev // 运行所有 Mix 任务并减少输出... npm run production 监控前端资源改变 npm run watch 命令将会持续在终端运行并监听所有相关文件的修 改，Webpack 将会在发现修改后自动重新编译资源文件： npm run watch 你可能会发现文件变更的时候特定环境的 'public/js'); if (mix.config.inProduction) { mix.version(); } BrowserSync 重新加载 BrowserSync 会自动监控文件修改，并将修改注入浏览器而不需要 手动刷新，你可以通过调用 mix.browserSync() 方法启用该支持： mix.browserSync('my-domain.test'); // $this->mock(Service::class, function ($mock) { $mock->shouldReceive('process')->once(); }); 类似的，如果你想要暗中监控某个对象，Laravel 测试基类还提供 了 spy 方法，该方法提供了对 Mockery::spy 方法的封装： use App\Service; $this->spy(Service::class

tasks and minify all CSS and JavaScript... gulp --production 3.1 监控前端资源改变 由于每次修改前端资源后都要运行 gulp 很不方便，可以使用 gulp watch 命令。该命令将会 一直在终端运行并监控前端文件的改动。当改变发生时，新文件将会自动被编译： gulp watch 4、处理 CSS 项目根目录下的 gulpfile mix.task 方法并传递任务名作为该方法的唯一参 数： elixir(function(mix) { mix.task('speak'); }); 7.1 自定义监控者 如果你需要注册一个监控器在每一次文件修改时都运行自定义任务，传递一个正则表达式作 为 task 方法的第二个参数： elixir(function(mix) { mix.task('speak' elixir(function(mix) { mix.speak('Tea, Earl Grey, Hot'); }); 8.1 自定义监控器 如果你想要自定义任务在运行 gulp watch 的时候被触发，可以注册一个监控器： new Task('speak', function() { return gulp.src('').pipe(shell('say '

文件中的其中某个 NPM 脚本即可： // 运行所有 Mix 任务... npm run dev // 运行所有 Mix 任务并减少输出... npm run production 监控前端资源改变 npm run watch 命令将会持续在终端运行并监听所有相关文件的修改，Webpack 将会在发现修改后自动重新编译资源文件： npm run watch 你可能会发现文件变更的时候特定环境的 'public/js'); if (mix.config.inProduction) { mix.version(); } BrowserSync 重新加载 BrowserSync 会自动监控文件修改，并将修改注入浏览器而不需要手动刷新，你可以通过调用 mix.browserSync() 方法启用该支持： mix.browserSync('my-domain.test'); // @user Laravel Horizon 简介 Horizon 为 Laravel 提供了基于 Redis 的、拥有美观后台的、代码驱动配置的队列系统。Horizon 让我们可以轻松监控队列系统的关键指标，例如 任务吞吐量、运行时间和失败任务等。 所有的队列进程配置都存放在一个单独的简单配置文件中，这样的话配置文件就可以存放到源码控制以便团队所有成员的协作。 安装 注：由于

tasks and minify all CSS and JavaScript... gulp --production 监控前端资源改变 由于每次修改前端资源后都要运行 gulp 很不方便，可以使用 gulp watch 命令。该命令将 会一直在终端运行并监控前端文件的改动。当改变发生时，新文件将会自动被编译： gulp watch 4、处理 CSS 项目根目录下的 gulpfile 中调用该任务，使用 mix.task 方法并传递任务名作为该方法的唯一 参数： elixir(function(mix) { mix.task('speak'); }); 自定义监控者 如果你需要注册一个监控器在每一次文件修改时都运行自定义任务，传递一个正则表达式 作为 task 方法的第二个参数： elixir(function(mix) { mix.task('speak' /elixir-extensions') elixir(function(mix) { mix.speak('Tea, Earl Grey, Hot'); }); 自定义监控器 如果你想要自定义任务在运行 gulp watch 的时候被触发，可以注册一个监控器： new Task('speak', function() { return gulp.src('').pipe(shell('say '

JavaScript... gulp --production 运行这个命令的时候，你会看到一个显示刚刚发生事件的格式良好的表格。 监控前端资源改变 由于每次修改前端资源后都要运行 gulp 很不方便，可以使用 gulp watch 命令。该命令将会一直 在终端运行并监控前端文件的改动。当改变发生时，新文件将会自动被编译： 本文档由 Laravel 学院（LaravelAcademy.org）提供

{ t o } 会分别被源资源文件路径和目标资源文件路径替代。 信 信 信息 息 息： ： ： 除了以上方式，也有其他的方式来处理扩展语法资源， 例如，可使用编译工具如轧 轲 轵 轮 轴 3 5 来监控并自动转换扩展语法资 源，此时， 应使用资源包中编译后的轃 轓 轓 輯 轊 轡 轶 轡 轓 轣 轲 轩 轰 轴 文件而不 是原始文件。 2 9 h t t p s : / / l e s s c s 輸 輰 上的容器 中的轗 轥 轢 服务器在您的（本地）主机上的端口 輸 輸 輸 輸 上可用。 容器可以解决许多问题，例如在开发人员计算机和服务器上具有相同的 软件版本，在开发时快速部署或模拟多服务器体系结构。 您可以在 轤 软 轣 轫 轥 轲 輮 轣 软 轭 1 2 上阅读有关轄 软 轣 轫 轥 轲 容器的更多信息。 1 2 h t t p s : / / w w w . d o c k e r