WEB攻击与防护技术 徐 震 信息安全国家重点实验室 提纲 一、背景概述 二、典型攻击 三、攻防原理 四、防护产品体系 1.1.技术背景 n Web成为主流的网络和应用技术 q CNCERT/CC 网络安全监测系统对流量数据进行的抽样统计 显示，Web 应用流量占整个TCP 流量的81.1% q B/S居统治地位：网上银行、电子商务、电子政务、证劵、 手机上网 3 3 1.2.安全威胁 1.2.安全威胁 n SANS年发布的全球20大安全风险排行榜上，Web应 用安全漏洞名列前茅，攻击者利用最多的漏洞是SQL 注入及跨站脚本 n 根据国家计算机网络应急技术处理协调中心(简称 CNCERT/CC)上半年的工作报告显示，网站漏洞百出， 被篡改的大陆网站数量明显上升，总数达到28367个， 比去年全年增加近16% 1.3. 相关政策、法规（1） n n PCI DSS 美国，2008年PCI法案通过之后，要求提供信 用卡网上支付超过一定营业额的企业，都需要 配置Web应用防火墙或进行代码级应用安全加 固。 1.4. 相关政策、法规（2） n 胡锦涛总书记重要指示 q “把握信息化发展的方向、维护国家在网络空间的安全和利益成 为信息时代的重大战略课题。” n 政策文件和规划中对信息安全的要求 q 《国家信息化的战略目标（

1.概述 Web 开发技术-JavaScript VCG JavaScript 2020/4/28 2 内容提要 1 JavaScript 简史 2 JavaScript 功能、脚本语言 3 JavaScript 实现 ECMAScript DOM BOM 4 在 HTML 中使用 JavaScript 直接嵌入 外部引入 JS 代码压缩 2 VCG 1.0，与 Sun 公司组成开发联盟。由于 Java 正流行，LiveScript 发布前临时改名 JavaScript. 1996：Microsoft 采用 在 Internet Explorer 3 中加入名为 JScript 的 JavaScript 实现. 1997：JavaScript 标准化 – ECMAScript 欧洲计算机制造商协会（ECMA） 39 号技术委员会  控制 cookies 和本地存储 VCG JavaScript 2020/4/28 8 2. JavaScript 功能  其他功能，如  网络服务器（Node.js）  处理 Web 应用的 HTTP 请求  机器学习（TensorFlow.js）  在浏览器/Node.js 上开发、训练和部署 ML 模型  开发桌面应用（ELECTRON）  使用 JS/HTML/CSS

Web的未来 新技术和新语言带来的改变 hanguokai@gmail.com 韩国恺 @hanguokai 韩国恺 开发者9Y+ 技术爱好者 学习 上网 动漫、电影 健身 Google fans 与 Dart 的缘分 1. Web的演化 2. 语言篇 a. 语言的发展 b. Dart 介绍 3. 技术篇 a. Web Components b. Polymer 库 大纲 Web应用的优点 ● 无需安装 ● 增量式开发 ● 自动升级 ● 跨平台 ● 天然的MVC（HTML+CSS+JavaScript） 当前的Web开发 ● Web 开发越来越复杂：项目大，团队成员多 ● 前端功能越来越多：CS→BS→CS ● 大型应用维护和协作难 ● 性能弱，启动速度慢 ● 工具支持弱 ● 仔细选择技术方案和开发规范 Web 开发中还有许多问题有待解决 并不是人们最习惯的使用方式， Web App 应该给人以桌面 App 的“感觉” 3. Web App 应该更像 App 而不是一个浏览器 Tab 4. 用户并不关心背后用的是什么技术。 a. App做壳，Web做核 b. Web 会与 OS 更紧密集成，直接提供 Web引擎支持 Chrome App Launcher Chrome Apps Chrome App vs 桌面 App 技术上:

会话基本概念 会话跟踪技术 本节习题 Java 应用与开发 HTTP 会话跟踪技术 王晓东 wangxiaodong@ouc.edu.cn 中国海洋大学 November 25, 2018 大纲 会话基本概念 会话跟踪技术 本节习题 学习目标 1. 掌握会话的基本概念，理解会话不是仅仅使用 HTTP 协议 就能够保证的，而是客户端浏览器和服务器端在 HTTP 协 议之上采用额外的技术协同的结果。 议之上采用额外的技术协同的结果。 2. 掌握常用的会话跟踪技术，了解采用 URL 重写维持会话跟 踪的方法；理解 Cookie 和 Session 的协同机制，掌握使用 Cookie 和 Session 实现会话跟踪的技术。 3. 能够使用 Cookie 和 Session 编写会话跟踪代码。 大纲 会话基本概念 会话跟踪技术 本节习题 大纲 会话基本概念 会话跟踪技术 URL 重写 Cookie Java EE EE 会话对象 本节习题 大纲 会话基本概念 会话跟踪技术 本节习题 接下来⋯ 会话基本概念 会话跟踪技术 URL 重写 Cookie Java EE 会话对象 本节习题 大纲 会话基本概念 会话跟踪技术 本节习题 什么是会话 ▶ 在 Web 应用中把客户端浏览器开始请求 Web 服务器，访问 不同 Web 文档进行请求/响应，到结束访问的一系列过程称 为会话，即一次会话（Session）。

海尔实时计算平台技术选型与实践 海尔电器－肖云 个人介绍 • 方正电子新媒体开发总监 • 中投视讯研发总监 • 海尔电器资深架构师 公司介绍 海尔 电器 日日顺 物流 贝业 物流 快递柜 。。。 跨境 电商 健康 水站 盛丰 物流 概要 • 实时计算平台背景 • 开源技术选型与实践 • 开源技术改造经验 背景－海尔大数据总体规划 实时计算平台框架 存 储 服 服 务 实时数据采集框架 实时计算框架 离线计算框架 数据可视化框架 数据产品1 数据产品2 数据产品N 可选的开源技术 Fluentd Flume Apollo Chukwa Sqoop DataX MySQLStreamer Canal Scribe ZeroMQ ActiveMQ Logstash RabbitMQ Jafka RabbitMQ Storm Caravel CBoard Nagios 实时数据采集技术选型要求 • 完整 • 低延时 • 不影响业务系统性能 代码埋点： • 优点：采集能力强 • 缺点：时间、人力成本大 实时数据采集－数据如何获取？ 可视化埋点： • 优点：成本低，速度快 • 缺点：行为记录信息少，支持的分析方式少 • Flume 日志收集可选技术 • Fluentd • Logstash • Scribe

09.Services Web 19 décembre 2023 Développement web il3 Services web HE-Arc (DGR) 2022 Applications distribuées • Motivation : répartir l’exécution sur plusieurs machines – Principe : Les composants/services abstraction différences – Exemples : RPC, RMI (java), CORBA, DCOM (MS) • Utiliser les technologies du web, comme HTTP et XML : – indépendantes de la plateforme, éprouvées, largement utilisées • Système distribué rvices 1 Service web • 2 visions : – Utiliser les technos web pour développer des applis distribuées – Accès pour une application aux services offerts aux humains • Service web = webapp pour une autre

58集团技术专场 技术架构快速规划与落地 沈剑 58集团技术专场 关于 我 � “架构师之路”作者 � 高级工程师 � 技术委员会主席、高级架构师、技术学院优秀讲师 � 技术委员会主席、技术总监 � 本质：程序员 58集团技术专场 目录-技术架构体系建设 问题 实践 总结 1. 服务化 2. 监控平台 3. 调用链跟踪 4. 服务治理 58集团技术专场 一、初创公司技术架构体系建设 一、初创公司技术架构体系建设 常见问题 58集团技术专场 初创公司技术体系常见问题 体系割裂 系统耦合 DB耦合 出问题不知道 查问题麻烦 定位问题周期长 一团麻 没人 58集团技术专场 二、 技术体系快速规划与 落地实践 58集团技术专场 1. 服务化-服务化之前高可用架构 � 服务化前系统架构 （1）端 （2）反向代理 （3）应用 （4）数据 58集团技术专场 1. 服务化-问题：代码拷贝 服务化-问题：代码拷贝 58集团技术专场 1. 服务化-问题：复杂性扩散 58集团技术专场 1. 服务化-问题：库耦合 58集团技术专场 1. 服务化-问题：DB耦合 58集团技术专场 1. 服务化-问题：SQL质量无保障 58集团技术专场 1. 服务化-解决方案：服务化 58集团技术专场 1. 服务化-58到家最佳实践 � 统一服务框架（D-SF） � 统一数据访问层（D-Dao）

大纲 Java 技术概述 Java 平台核心机制 Java 开发环境 Java 基本开发流程 Java 应用与开发 Java 技术概述及开发环境 王晓东 wangxiaodong@ouc.edu.cn 中国海洋大学 September 18, 2018 大纲 Java 技术概述 Java 平台核心机制 Java 开发环境 Java 基本开发流程 参考书目 1. 陈国君等编著, Java (3rd) 大纲 Java 技术概述 Java 平台核心机制 Java 开发环境 Java 基本开发流程 本章学习目标 1. 了解 Java 的发展历程 2. 理解 Java 平台的相关概念和机制 3. 掌握基本 Java 开发环境配置 大纲 Java 技术概述 Java 平台核心机制 Java 开发环境 Java 基本开发流程 大纲 Java 技术概述 Java 平台核心机制 Java 基本开发流程 大纲 Java 技术概述 Java 平台核心机制 Java 开发环境 Java 基本开发流程 ���� Java 技术概述 Java 平台核心机制 Java 开发环境 Java 基本开发流程 大纲 Java 技术概述 Java 平台核心机制 Java 开发环境 Java 基本开发流程 那些伟大的 LOGO 大纲 Java 技术概述 Java 平台核心机制 Java

《Go Web 编程》 《Go Web 编程》 因为自己对Web开发比较感兴趣，所以最近抽空在写一本开源的书籍《Go Web编程》《Build Web Application with Golang》。写这本书不表示我能力很强，而是我愿意分享，和大家一起分享Go写Web应用的一些东西。 对于从PHP/Python/Ruby转过来的同学了解Go怎么写Web应用开发的 对于从C/C++转过来的同学了解Web到底是怎么运行起来的 对于从C/C++转过来的同学了解Web到底是怎么运行起来的 我一直认为知识是用来分享的，让更多的人分享自己拥有的一切知识这个才是人生最大的快乐。 这本书目前我放在Github上，我现在基本每天晚上抽空会写一些，时间有限、能力有限，所以希望更多的朋友参与到 这个开源项目中来。 撰写方法 撰写方法 文件命名 文件命名 每个章节建立一个md文件，如第11章的第3节，则建立11.3.md 11.3.md。 这样读者就可以把相应的Markdown文件编译成html文件，执行go build build.go，执行生成的文件，就会在底目 录下生成相应的html文件 交流 交流 欢迎大家加入QQ群：259316004 《Go Web编程》专用交流群 大家有问题还可以上德问上一起交流学习：http://www.dewen.org/topic/165 致谢 致谢 首先要感谢Golang-China的QQ群1023198

Web 开发与PHP 杨亮 为什么要从事Web开发 • 互联⺴⽹网是发展最好的⾏行业 • 会有成千上万⼈人使⽤用你的产品 • 相对容易找到⼯工作 • 赚钱最多的⼯工作之⼀一 • 可以解决⾃自⼰己的实际问题 • 可以告诉家⼈人我在做什么 • 。。。。 Web产品流程 ⽤用户 PM UE RD FE QA OP PM: Project & Marketing Experience FE: Front-End Engineer RD: Research & Development QA: Quality Assurance OP: Operator Web基本流程 PC Mobile 服务器 （Apache） (IIS) 后端脚本 （PHP） （JSP） （ASP） 数据库 （MySQL） （Oracle） （Access） HTTP 请求 对应⽂文件 获取数据 返回数据 返回⻚页⾯面 返回⻚页⾯面 请求⻚页⾯面 服务器端 客户端 html css javascript html css javascript Web开发⼈人员需要关注 后端脚本 （PHP） （JSP） （ASP） 数据库 （MySQL） （Oracle） （Access） html css javascript 前端⼯工程师 后端⼯工程师