第1章：網絡空間安全技術網絡空間安全（CyberspaceSecurity）是一門普通高等學校本科專業(yè)，屬計算機類專業(yè)，基本修業(yè)年限為四年，授予工學學士學位。該專業(yè)培養(yǎng)德、智、體等全面發(fā)展，掌握網絡空間安全理論基礎和專業(yè)知識，熟悉相關領域發(fā)展動態(tài)，具有強的工程實踐和系統(tǒng)開發(fā)能力，具有獨立從事網絡與信息系統(tǒng)的安全分析、設計、集成、開發(fā)、測試、維護等的能力，能夠獨立的解決工程應用領域的技術難題，具備較強的工程實踐創(chuàng)新能力；具有強的工程項目的組織與管理能力、技術創(chuàng)新和系統(tǒng)集成能力；具備網絡空間安全領域科學研究、技術開發(fā)和工程應用服務工作能力的行業(yè)骨干和領軍人才。培養(yǎng)具有良好的道德與修養(yǎng)，遵守法律法規(guī)，具有社會和環(huán)境意識，掌握數(shù)學與自然科學基礎知識以及與計算系統(tǒng)相關的基本理論、基本知識、基本技能和基本方法，具備包括計算思維在內的科學思維能力和設計計算解決方案、實現(xiàn)基于計算原理的系統(tǒng)的能力，能清晰表達，在團隊中有效發(fā)揮作用，綜合素質良好，能通過繼續(xù)教育或其他的終身學習途徑拓展自己的能力，了解和緊跟學科專業(yè)發(fā)展，在計算系統(tǒng)研究、開發(fā)、部署與應用等相關領域具有就業(yè)競爭力的高素質專門技術人才?？傮w框架該專業(yè)的知識體系包括通識類知識、學科基礎知識、專業(yè)知識和實踐性教學等。課程體系須支持各項畢業(yè)要求的有效達成，進而保證專業(yè)培養(yǎng)目標的有效實現(xiàn)。人文社會科學類課程約占15%，數(shù)學和自然科學類課程約占15%，實踐約占20%，學科基礎知識和專業(yè)知識課程約占30%。人文社會科學類教育能夠使學生在從事工程設計時考慮經濟、環(huán)境、法律、倫理等各種制約因素。數(shù)學和自然科學類教育能夠使學生掌握理論和實驗方法，為學生表述工程問題、選擇恰當數(shù)學模型、進行分析推理奠定基礎。學科基礎類課程包括學科的基礎內容，能體現(xiàn)數(shù)學和自然科學在該專業(yè)中應用能力的培養(yǎng)；專業(yè)類課程、實踐環(huán)節(jié)能夠體現(xiàn)系統(tǒng)設計和實現(xiàn)能力的培養(yǎng)。課程體系的設置有企業(yè)或行業(yè)專家有效參與。通識類知識通識類知識包括人文社會科學類、數(shù)學和自然科學類兩部分。人文社會科學類知識包括經濟、環(huán)境、法律、倫理等基本內容；數(shù)學和自然科學類知識包括高等工程數(shù)學、概率論與數(shù)理統(tǒng)計、離散結構、力學、電磁學、光學與現(xiàn)代物理的基本內容。學科基礎知識學科基礎知識被視為專業(yè)類基礎知識，培養(yǎng)學生計算思維、程序設計與實現(xiàn)、算法分析與設計、系統(tǒng)能力等專業(yè)基本能力，能夠解決實際問題。建議教學內容覆蓋以下知識領域的核心內容：程序設計、數(shù)據(jù)結構、計算機組成、操作系統(tǒng)、計算機網絡、信息管理，包括核心概念、基本原理以及相關的基本技術和方法，并讓學生了解學科發(fā)展歷史和現(xiàn)狀。專業(yè)知識課程須覆蓋相應知識領域的核心內容，并培養(yǎng)學生將所學的知識運用于復雜系統(tǒng)的能力，能夠設計、實現(xiàn)、部署、運行或者維護基于計算原理的系統(tǒng)。要點網絡空間安全技術發(fā)展世界各國網絡空間安全戰(zhàn)略分析世界各國網絡空間安全政策法規(guī)新形式下網絡空間安全1網絡空間安全網絡空間是一種包含互聯(lián)網、通信網、物聯(lián)網、工控網等信息基礎設施，并由人–機–物相互作用而形成的動態(tài)虛擬空間。網絡空間安全既涵蓋包括人、機、物等實體在內的基礎設施安全，也涉及到其中產生、處理、傳輸、存儲的各種信息數(shù)據(jù)的安全。隨著人工智能、云計算、大數(shù)據(jù)、物聯(lián)網等新興技術的迅猛發(fā)展，網絡空間安全面臨著一系列新的威脅和挑戰(zhàn)。網絡空間面臨著從物理安全、系統(tǒng)安全、網絡安全到數(shù)據(jù)安全等各個層面嚴峻的安全挑戰(zhàn)。1.1網絡空間安全提出背景隨著人工智能、云計算、大數(shù)據(jù)、物聯(lián)網相關的新概念、新應用的不斷出現(xiàn)，使個人數(shù)據(jù)隱私泄露問題日益凸顯。計算和存儲能力日益強大的移動智能終端承載了人們大量工作、生活相關的應用和數(shù)據(jù)，急需切實可用的安全防護機制。伴隨著新型網絡形態(tài)、新型計算基礎理論和模式的出現(xiàn)，以及信息化和工業(yè)化的深度融合，給網絡空間安全帶來了新的威脅和挑戰(zhàn)。1.2網絡空間安全研究領域沈昌祥院士：網絡空間已經成為繼陸、海、空、天之后的第5大主權領域空間，也是國際戰(zhàn)略在軍事領域的演進。方濱興院士：網絡空間是所有由可對外交換信息的電磁設備作為載體，通過與人互動而形成的虛擬空間，包括互聯(lián)網、通信網、廣電網、物聯(lián)網、社交網絡、計算系統(tǒng)、通信系統(tǒng)、控制系統(tǒng)等。方濱興院士提出網絡空間安全的4層次模型，包括設備層的安全、系統(tǒng)層的安全、數(shù)據(jù)層的安全以及應用層的安全，同時列出了信息安全、信息保密、信息對抗、云的安全、大數(shù)據(jù)、物聯(lián)網安全、移動安全、可信計算8個研究領域。2技術發(fā)展隨著人工智能、云計算、大數(shù)據(jù)、物聯(lián)網等新興技術的迅猛發(fā)展，網絡空間安全面臨著一系列新的威脅和挑戰(zhàn)。2.1國際視野看網絡空間安全發(fā)展從世界范圍看，網絡安全威脅和風險日益突出，維護網絡安全，同步推進安全和發(fā)展，已成為國際社會的共識。各國紛紛加強戰(zhàn)略謀劃，出臺新的網絡安全戰(zhàn)略。美國在2003年頒布的《保護網絡空間國家戰(zhàn)略》中明確要求，“開展全國性的增強安全意識活動。由國土安全部負責領導國家網絡安全意識行動”。歐盟委員會在《歐盟網絡安全戰(zhàn)略》（2013）中建議各成員國，“每年組織網絡安全宣傳月活動以提升用戶意識，由歐洲網絡與信息安全管理局負責協(xié)同。日本在《保護國民信息安全戰(zhàn)略》（2010）中強調將“加強應對信息安全事件的能力，通過普及安全意識來加強國民針對個人電腦采取的信息安全措施”作為一項戰(zhàn)略目標。。。。。。。越來越多的國家與組織重視網絡空間安全對國家經濟、政治、軍事、文化等的影響。2.2網絡空間安全技術發(fā)展態(tài)勢網絡空間安全技術發(fā)展日新月異來應對各種安全攻擊，總體來說，發(fā)展趨勢大致分以下五種：包括態(tài)勢感知、持續(xù)監(jiān)控、協(xié)同防御、快速恢復、溯源反制。1.態(tài)勢感知——全球感知、精確測繪2.持續(xù)監(jiān)控——持續(xù)監(jiān)測、主動管控3.協(xié)同防御——跨域協(xié)作、體系防御4.快速恢復——自動響應、快速處置5.溯源反制——精確溯源、反制威懾3世界各國網絡空間安全戰(zhàn)略分析網絡空間作為繼陸地、海洋、天空、太空之后的第五大空間，已經成為大國博弈的新領域。3.1世界各國網絡安全戰(zhàn)略簡要分析網絡勢態(tài)評估

各國網絡安全戰(zhàn)略基本上首先都要對網絡發(fā)展形勢進行評判，并對本國所面臨的網絡威脅進行評估。一方面是對網絡的依賴性。另一方面網絡空間安全威脅。2.戰(zhàn)略目標

國家網絡空間安全戰(zhàn)略目標主要為國家網絡空間安全政策提供一個頂層設計框架，明確和引導各項

行動目標核心。戰(zhàn)略行動

各國網絡安全戰(zhàn)略除了規(guī)定戰(zhàn)略目標外，還會規(guī)定實現(xiàn)戰(zhàn)略目標擬采取的具體行動和措施。組織保障

維護網絡空間安全需要一個強有力的領導機構。各國對此均非常重視，紛紛設立新的網絡安全監(jiān)管機構，提升網絡安全監(jiān)管能力。3.2中國網絡安全戰(zhàn)略基本內容一、機遇和挑戰(zhàn)（一）重大機遇

（二）嚴峻挑戰(zhàn)二、目標

以總體國家安全觀為指導，貫徹落實創(chuàng)新、協(xié)調、綠色、開放、共享的發(fā)展理念，增強風險意識和危機意識，統(tǒng)籌國內國際兩個大局，統(tǒng)籌發(fā)展安全兩件大事，積極防御、有效應對，推進網絡空間和平、安全、開放、合作、有序，維護國家主權、安全、發(fā)展利益，實現(xiàn)建設網絡強國的戰(zhàn)略目標。三、原則（一）尊重維護網絡空間主權

（二）和平利用網絡空間（三）依法治理網絡空間

（四）統(tǒng)籌網絡安全與發(fā)展四、戰(zhàn)略任務（一）堅定捍衛(wèi)網絡空間主權

（二）堅決維護國家安全

（三）保護關鍵信息基礎設施

（四）加強網絡文化建設

（五）打擊網絡恐怖和違法犯罪

（六）完善網絡治理體系（七）夯實網絡安全基礎

（八）提升網絡空間防護能力

（九）強化網絡空間國際合作4世界各國網絡空間安全政策法規(guī)—美國大量的數(shù)據(jù)表明，近年來隨著智能設備和控制系統(tǒng)的增多，數(shù)字化的設施越來越容易遭到黑客的攻擊，傳統(tǒng)產業(yè)的網絡安全性堪憂。想要實現(xiàn)萬物互聯(lián)的網絡世界需要完善的網絡安全政策體系，以實現(xiàn)更高效的安全防御。在2018年年初，美國眾議院能源和商業(yè)小組委員會通過了4項法案：（1）要求美國能源部長里克·佩里制定計劃提高美國能源管道和液化天然氣設施的物理安全與網絡安全（《管道與液化天然氣設施網絡安全準備法案》）；（2）提出將美國能源部的應急響應和網絡安全工作領導權力提至助理部長一級（《能源應急領導法案》）；（3）制定計劃幫助私營公共事業(yè)公司識別并使用網絡安全功能強大的產品（《2018網絡感知法案》）；（4）提出加強公私合作確保電力設施安全（通過《公私合作加強電網安全法案》）。美國網絡司令部將在政府網站安全、主動防御、實地運營、反恐和基礎設施抵御力、身份識別管理等5個方向加大投入，總預算達15.13億美元。美國“2019財年國防授權法案”將網絡安全預算大幅增加至300億美元，將從推進技術發(fā)展、擴大采購權限、強化政企合作、支持人才培養(yǎng)、創(chuàng)建試點項目等方面提升國家網絡安全能力。4世界各國網絡空間安全政策法規(guī)—歐盟2016年7月6日，歐洲議會全體會議通過首部相關法規(guī)——《歐盟網絡與信息系統(tǒng)安全指令》，主要內容包括：

要求歐盟各成員國加強跨境管理與合作；制定本國的網絡信息安全戰(zhàn)略；建立事故應急機制，對能源、金融、交通和飲水、醫(yī)療等公共服務重點領域的基礎服務運營者進行梳理，強制這些企業(yè)加強其網絡信息系統(tǒng)的安全，增強防范風險和處理事故的能力。2018年5月，歐盟網絡與信息系統(tǒng)（NIS）指令正式生效。此項面向歐盟范圍內的新法令旨在提高關鍵基礎設施相關組織的IT安全性，同時亦將約束各搜索引擎、在線市場以及其它對現(xiàn)代經濟擁有關鍵性影響的組織機構。2018年5月25日正式生效，《通用數(shù)據(jù)保護條例》，即GDPR。這是目前為止出臺的全球現(xiàn)有數(shù)據(jù)隱私保護法規(guī)中，覆蓋面最廣、監(jiān)管條件最嚴格的政策。GDPR管轄的范圍涵蓋所有處理歐盟居民數(shù)據(jù)的公司，在歐盟地區(qū)的企業(yè)必須遵守GDPR，歐盟之外的企業(yè)只要處理歐盟居民的數(shù)據(jù)也需要遵守GDPR。每一單GDPR違規(guī)行為將受到高達2000萬歐元的嚴重處罰，或者上一年全球年營業(yè)額的4％，以較高者為準。4世界各國網絡空間安全政策法規(guī)—德國&英國2016年8月，德國聯(lián)邦參議院通過一項信息安全法案，要求關鍵基礎設施機構和服務商必須執(zhí)行新的信息安全規(guī)定，否則將被處以最高10萬歐元的罰款。2016年9月，德國聯(lián)邦經濟部發(fā)布了《數(shù)字化行動綱要》，制定了12項針對未來數(shù)字化發(fā)展的措施，以吸引更多風投資金并促進中型企業(yè)數(shù)字化轉型。2016年11月，德國發(fā)布一項新的網絡安全戰(zhàn)略計劃，以應對越來越多針對政府機構、關鍵基礎設施、企業(yè)以及公民的網絡威脅。2018年5月，德國能源與水資源經濟聯(lián)邦協(xié)會（BDEW）發(fā)布《能源系統(tǒng)網絡安全建議白皮書》，對能源系統(tǒng)的安全控制與通信提出了相關建議。2016年11月，英國發(fā)布《國家網絡安全戰(zhàn)略（2016-2021）》，確保網絡安全的重要地位，并提出，英國政府將投入19億英鎊強化網絡安全能力。2017年3月，英國正式出臺《2017英國數(shù)字化戰(zhàn)略》，提出七大戰(zhàn)略任務，其中，安全的數(shù)字基礎設施是其首要任務。2018年6月，英國政府內閣辦公室發(fā)布實施網絡安全最低標準（MinimumCyberSecurityStandard），從識別、保護、檢測、響應和恢復五個維度，提出了一套網絡安全能力建設的最低措施要求。4世界各國網絡空間安全政策法規(guī)—中國十八大以來，我國確立了網絡強國戰(zhàn)略，為了加快數(shù)字中國的建設，互聯(lián)網已經成為國家發(fā)展的重要驅動力，隨后在中共十九大也同樣指出，網絡安全是人類面臨的許多共同挑戰(zhàn)。2017年6月1日，《網絡安全法》正式實施。關鍵基礎設施安全成為了國內網絡安全的主要關注點之一。2018年4月，全國信息安全標準化技術委員會正式發(fā)布《大數(shù)據(jù)安全標準化白皮書（2018版）》。2018年6月，《國務院關于深化“互聯(lián)網+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網的指導意見》發(fā)布。2018年9月，國家能源局印發(fā)《關于加強電力行業(yè)網絡安全工作的指導意見》。指導意見將有效地促進電力行業(yè)網絡安全責任體系。2019年5月，網絡安全等級保護制度2.0國家標準發(fā)布，等保2.0時代正式到來。5新形式下的網絡空間安全~人工智能與網絡空間安全隨著人工智能和網絡空間安全技術的飛速發(fā)展，這兩個領域逐步交織融合。一方面，人工智能技術越來越成為網絡空間安全技術難題的重要解決手段，網絡安全領域的專家采用人工智能技術應對越來越復雜的網絡攻擊手段；另一方面，人工智能技術本身具有一定脆弱性，帶來諸如對抗樣本攻擊等新的漏洞，甚至由于缺乏必要的約束機制，引發(fā)了人工智能技術威脅人類的擔憂。習近平總書記指出：“沒有網絡安全，就沒有國家安全?！苯陙恚斯ぶ悄芤仓饾u被提升到國家戰(zhàn)略的高度。2017年，人工智能首次被寫入政府工作報告，提出要加快人工智能等技術的研發(fā)和轉化。對這兩個領域交融發(fā)展的梳理，有助于發(fā)現(xiàn)一些解決問題的新思路，更好地推動國家戰(zhàn)略的實施。5新形式下的網絡空間安全~大數(shù)據(jù)與網絡空間安全當今時代，網絡空間已成為國家安全博弈的主渠道、主戰(zhàn)場、最前沿，不僅網絡控制、諸多病毒感染、網絡犯罪猖獗等威脅嚴重，而且“震網攻擊”“顏色革命”的接連登場，已經勾畫出新威脅的“猙獰”面孔，標志著網絡空間主體威脅完成了從“壞小子作惡”到“大玩家作戰(zhàn)”的升級變種，網絡戰(zhàn)爭悄然走來?？傮w攻擊態(tài)勢有三：新型媒體成為網絡攻擊新途徑；大數(shù)據(jù)平臺和關鍵基礎設施成為網絡攻擊新焦點；以主動式監(jiān)聽技術為代表的復雜攻擊成為網絡攻擊新方式。面對多重威脅并存時局，當務之急要研發(fā)與建設基于大數(shù)據(jù)的新型國家網絡空間安全態(tài)勢感知預警平臺，全面感知和掌控要害領域安全態(tài)勢，以此來支撐網絡治理、預防網絡戰(zhàn)爭、捍衛(wèi)國家網絡主權、把握網上斗爭主動權。5新形式下的網絡空間安全~云計算與網絡空間安全云計算的服務總體上可分為三層：基礎設施即服務（IaaS），用戶可以租用云計算的硬件服務器等基礎設施；平臺即服務（PaaS），用戶可以租用云計算的軟件開發(fā)平臺，開發(fā)自己的個性化定制軟件；軟件即服務（SaaS），用戶可以租用云計算的應用軟件。為了確保云計算的安全可信，人們提出了可信云計算的概念。所謂可信云計算，是指將可信計算技術融入云計算環(huán)境中，構建可信云安全架構，向用戶提供可信的云服務5新形式下的網絡空間安全~物聯(lián)網與網絡空間安全物聯(lián)網：Internetofthings（簡稱IoT），是新一代信息技術的重要組成部分，也是“信息化”時代的重要發(fā)展階段。物聯(lián)網就是物物相連的互聯(lián)網。目前物聯(lián)網安全主要表現(xiàn)在以下8個方面：1）安全隱私2)智能感知節(jié)點的自身安全問題3)假冒攻擊4)數(shù)據(jù)驅動攻擊5)惡意代碼攻擊6)分布式拒絕攻擊（DDoS攻擊）7)物聯(lián)網的業(yè)務安全8)傳輸層和應用層的安全隱患第2章：Web技術要點HTML技術JavaScript技術CSS技術JQuery技術HTML5技術AngularJS技術Bootstrap技術相關安全漏洞披露1HTML技術HTML的英文全稱是HypertextMarkedLanguage，即超文本標記語言。它是由Web的發(fā)明者TimBerners-Lee和同事DanielW.Connolly于1990年創(chuàng)立的一種標記語言。用HTML編寫的超文本文檔稱為HTML文檔，它能獨立于各種操作系統(tǒng)平臺(如UNIX、Windows、Mac等)。使用HTML語言，將所需要表達的信息按某種規(guī)則寫成HTML文件，由瀏覽器來識別，并將這些HTML文件“翻譯”成可以識別的信息，即現(xiàn)在所見到的網頁。HTML是通向Web技術世界的鑰匙。1.1HTML基礎HTML是目前網絡上應用最為廣泛的語言，也是構成網頁文檔的主要語言。HTML文本是由HTML命令組成的描述性文本，HTML命令可以說明文字、圖形、動畫、聲音、表格、鏈接等。HTML的結構包括頭部（Head）、主體（Body）兩大部分，其中頭部描述瀏覽器所需的信息，而主體則包含所要說明的具體內容。1.2HTML安全攻擊利用HTML語言進行的攻擊，實際上是一個網站允許惡意用戶，通過不正確處理用戶表單輸入數(shù)據(jù)而將HTML注入其網頁的攻擊。換句話說，HTML注入漏洞是由接收HTML引起的，通常是通過某種表單輸入，然后在網頁上呈現(xiàn)為輸入的。由于HTML是用于定義網頁結構的語言，如果攻擊者可以注入HTML，它們實質上可以改變?yōu)g覽器呈現(xiàn)的內容和網頁的外觀。利用HTML的語言特點，在網站文本框中，輸入類似于<tr><td><input></td></tr><table>這樣的內容，就會影響表格的顯示結構。將這些數(shù)據(jù)顯示到頁面的時候，就會產生HTML攻擊。實例1：網頁中用戶可以填寫內容的地方，如果填寫成“<table”，則可能導致網頁源代碼全部展示出來，或者整個網頁結構錯亂。實例2：網頁中用戶可以填寫內容的地方，如果填寫成“<iframesrc=XXX.com>”，則可能導致該網頁成為釣魚網頁。實例3：網頁中用戶可以填寫內容的地方，如果填寫成“<script>alert(111)</script>”，則可能導致XSS攻擊。1.3HTML安全防護對HTML語言攻擊的防護，主要采用2種方式：1.凈化輸入。就是對每個輸入框可以接受什么要有嚴格的定義，包括數(shù)據(jù)類型，長度等。如果用戶輸入的內容不符合要求，就拒絕向后臺提交。當然這種凈化輸入不能全指望前端的JavaScript，因為攻擊者可以通過工具繞行JavaScript控制，所以除了前端檢查，在后臺真正提交數(shù)據(jù)庫前還要做服務器端的輸入合法性校驗，只有通過合法校驗，才能真正執(zhí)行。2.格式化輸出。就是對于要展示的用戶數(shù)據(jù)需要經過適當?shù)木幋a才能輸出，避免出現(xiàn)腳本執(zhí)行或破壞HTML文檔結構。2JavaScript技術JavaScript是由NETSCAPE公司所開發(fā)的一種腳本語言，是目前因特網上最流行的腳本語言，并且可在所有主要的瀏覽器中運行，其目的是擴展基本的HTML功能，處理Web網頁表單信息，為Web網頁增加動態(tài)效果。2.1JavaScript基礎JavaScript的最大特點是和HTML的結合，在客戶端的應用中很難將JavaScript程序和HTML文檔分開。JavaScript代碼總是和HTML一起使用的，它的各種對象都有各自的HTML標記，當HTML文檔在瀏覽器中被打開時，JavaScript代碼才被執(zhí)行。JavaScript代碼使用HTML標記<script></script>嵌入到HTML文檔中。它擴展了標準的HTML，為HTML標記增加了事件，通過事件驅動來執(zhí)行JavaScript代碼。2.2JavaScript安全攻擊XSS（CrossSiteScripting）跨站腳本攻擊基于DOM（DocumentObjectModel）的XSS反射式XSS（非持久性XSS）存儲式XSS（持久性XSS）B.跨站請求偽造（CSRF：CrossSiteRequestForgery）攻擊者可以偽造某個請求的所有參數(shù)，在B站發(fā)起一個屬于A站的請求，這就是跨站請求。C.點擊劫持（ClickJacking）惡意攻擊者用一個透明的iframe覆蓋在網頁上，欺騙客戶在這個iframe上操作。2.3JavaScript安全防護XSS（CrossSiteScripting）跨站腳本防護不要信任任何用戶輸入，對輸入的具體特殊字符，長度，類型等的數(shù)據(jù)進行過濾處理，使用輸入白名單控制。對輸出的數(shù)據(jù)使用HTML編碼對一些字符做轉義處理，所有HTML和XML中輸出的數(shù)據(jù)，都需要做HTML轉義處理(htmlescape)。為Cookie設置httponly和secure屬性，避免攻擊者通過document.cookie盜取合法用戶的Cookie。B.跨站請求偽造（CSRF：CrossSiteRequestForgery）防護每一個請求都加一個變動的,不可預先知道的CSRFToken,服務器端對每個請求都驗證CSRFToken。C.點擊劫持（ClickJacking）防護有條件的允許iframe的嵌入。在HTTP頭：X-Frame-Options設置自己想要的值，設置如下。DENY：禁止任何頁面的frame加載；SAMEORIGIN：只有同源頁面的frame可加載；ALLOW-FROM：可定義允許frame加載的頁面地址3CSS技術CSS的最初建議是在1994年哈坤·利提出的，1995年他與波斯一起再次展示這個建議，1996年，CSS已經完成第一版本并正式出版。CSS可算是網頁設計的一個突破，它解決了網頁界面排版的難題。3.1CSS基礎CSS是CascadingStyleSheets（“層疊樣式表”或“級聯(lián)樣式表”）的簡稱，更多的人把它稱作樣式表。顧名思義，它是一種設計網頁樣式的工具，是一組格式設置規(guī)則，用于控制Web頁面的外觀。我們可以借助CSS的強大功能，將網頁在豐富的想象力下千變萬化。通過使用CSS樣式設置頁面的格式，可將頁面的內容與表現(xiàn)形式分離。頁面內容存放在HTML文檔中，而用于定義表現(xiàn)形式的CSS規(guī)則存放在另一個文件中或HTML文檔的某一部分中，通常為文件頭部分。將內容與表現(xiàn)形式分離，不僅可使維護站點的外觀更加容易，而且還可以使HTML文檔代碼更加簡練，縮短瀏覽器的加載時間。3.2CSS安全攻擊使用CSS樣式表執(zhí)行JavaScript具有安全攻擊隱蔽、靈活多變的特點。如：<divstyle="background-image:url(javascript:alert('xss')")><style><body{background-image:url("javascript:alert('xss')");}</style>使用link或import引用CSS，如：<linkrel="stylesheet"href="/attack.css">p{background-image:expression(alert("xss"));}<styletype='text/css'>

@importurl(/xss.css);</style>3.3CSS安全防護對特定CSS語法攻擊的防護有：禁用style標簽，過濾標簽時過濾style屬性，過濾含expression、import等敏感字符的樣式表。4JQuery技術JQuery是一個快速、簡潔的JavaScript框架，是繼Prototype之后又一個優(yōu)秀的JavaScript代碼庫（或JavaScript框架）。JQuery設計的宗旨是“writeLess，DoMore”，即倡導寫更少的代碼，做更多的事情。它封裝JavaScript常用的功能代碼，提供一種簡便的JavaScript設計模式，優(yōu)化HTML文檔操作、事件處理、動畫設計和Ajax交互。4.1JQuery基礎2006年1月JohnResig等人創(chuàng)建了JQuery；8月，JQuery的第一個穩(wěn)定版本，并且已經支持CSS選擇符、事件處理和AJAX交互。JQuery的文檔非常豐富，因為其輕量級的特性，文檔并不復雜，隨著新版本的發(fā)布，可以很快被翻譯成多種語言，這也為jQuery的流行提供了條件。JQuery被包在語法上，JQuery支持CSS1-3的選擇器，兼容IE6.0+，F(xiàn)F2+，Safari3.0+，Opera9.0+，Chrome等瀏覽器。同時，JQuery有約幾千種豐富多彩的插件，大量有趣的擴展和出色的社區(qū)支持，這彌補了JQuery功能較少的不足并為JQuery提供了眾多非常有用的功能擴展。因其簡單易學，JQuery很快成為當今最為流行的JavaScript庫，成為開發(fā)網站等復雜度較低的Web應用程序的首選JavaScript庫，并得到了大公司如微軟，Google的支持。4.2Jquery安全攻擊JQuery的風險均來源于對輸入的數(shù)據(jù)沒有進行有效性檢驗?？蛻舳说腏avaScript需要檢驗：來源于服務器的數(shù)據(jù)、來源于當前頁面的用戶輸入,服務器端需要檢驗來源于用戶端的數(shù)據(jù)。函數(shù)攻擊示例代碼.html(val)$("#MyH").html("as>/"<imgsrc=abc.jpgοnerrοr='alert(0);'>alert('s');");.append(val)$("#MyH").append("<strong>Hello</strong><script>alert(3);");.prepend(val)$("#MyH").prepend("<strong>Hello</strong><script>alert(3);");.before(val)$("#MyH").before("<strong>Hello</strong><script>alert(3);");.replaceWith(val)$("#MyH").replaceWith("<strong>Hello</strong><script>alert(3);");.after(val)$("#MyH").after("<strong>Hello</strong><script>alert(3);");4.3Jquery安全防護使用JSON2.js的JSON解釋方法代替JQuery的該部份內容，或修改JQuery的eval部分，增加對JSONString的有效檢驗。另外，及時升級到安全的JQuery版本上，也非常重要。5HTML5技術HTML5是Web中核心語言HTML的規(guī)范，用戶使用任何手段進行網頁瀏覽時看到的內容原本都是HTML格式的，在瀏覽器中通過一些技術處理將其轉換成為了可識別的信息。HTML5在從前HTML4.01的基礎上進行了一定的改進，HTML5將Web帶入一個成熟的應用平臺，在這個平臺上，視頻、音頻、圖像、動畫以及與設備的交互都進行了規(guī)范。5.1HTML5安全攻擊&防護一、HTML5定義了很多新標簽、新事件，這有可能帶來新的xss攻擊。1、<video>2、iframe的sandbox3、LinkType:noreferrer二、其他安全問題1、跨域資源共享CORS(Cross-OriginResourceSharing)2、postMessage——跨窗口傳遞消息3、WebStorage實際攻擊方法與防護，請參考書箱6AngularJS技術AngularJS誕生于2009年，由MiskoHevery等人創(chuàng)建，后為Google所收購。是一款優(yōu)秀的前端JS框架，已經被用于Google的多款產品當中。AngularJS有著諸多特性，最為核心的是：MVC（Mode–view–controller）、模塊化、自動化雙向數(shù)據(jù)綁定、語義化標簽、依賴注入等等。AngularJS是一個JavaScript框架。它是一個以JavaScript編寫的庫。它可通過<script>標簽添加到HTML頁面。AngularJS通過指令擴展了HTML，且通過表達式綁定數(shù)據(jù)到HTML。AngularJS是以一個JavaScript文件形式發(fā)布的，可通過script標簽添加到網頁中。6.1AngularJS防止模板攻擊AngularJS是一個很流行的JavaScript框架，通過這個框架可以把表達式放在花括號中嵌入到頁面中。例如，表達式1+2={{1+2}}將會得到1+2=3。其中括號中的表達式被執(zhí)行了，這就意味著，如果服務端允許用戶輸入的參數(shù)中帶有花括號，就可以用Angular表達式來進行XSS攻擊。所以對用戶輸入，需要做輸入有效性驗證，避免攻擊者依據(jù)AngularJS語法的特征進行有針對性的攻擊。6.2AngularJS防止XSS攻擊ng-bind-html這個指令會在運行過濾掉一些不安全的標簽來防止XSS攻擊，提高安全性。但是會導致字符串里的某些標簽比如<button></button>,<input/>等不會顯示出來。AngularJS中使用$sce來進行這類安全防護，程序員可以根據(jù)實際需要，進行選擇：$sce.trustAs(type,name);$sce.trustAsUrl(value);$sce.trustAsHtml(value);$sce.trustAsResourceUrl(value);$sce.trustAsJs(value);7Bootstrap技術Bootstrap是美國Twitter公司的設計師MarkOtto和JacobThornton合作基于HTML、CSS、JavaScript開發(fā)的簡潔、直觀、強悍的前端開發(fā)框架，使得Web開發(fā)更加快捷。Bootstrap提供了優(yōu)雅的HTML和CSS規(guī)范，它即是由動態(tài)CSS語言Less寫成。Bootstrap一經推出后頗受歡迎，一直是GitHub上的熱門開源項目，包括NASA的MSNBC（微軟全國廣播公司）的BreakingNews都使用了該項目。國內一些移動開發(fā)者較為熟悉的框架，如WeX5前端開源框架等，也是基于Bootstrap源碼進行性能優(yōu)化而來。在Bootstrap提供的套裝之中，也提供了不少的JS的套件，用于實現(xiàn)一些特效。這些套件，大部分支持JS方式調用，也支持data-xxx這種HTML屬性的方式調用。8近期Web技術相關安全漏洞披露漏洞號影響產品漏洞描述CNVD-2020-19602GitLabGitLab>=12.5，<=12.8.1GitLab是美國GitLab公司的一款使用RubyonRails開發(fā)的，可用于查閱項目的文件內容、提交歷史、Bug列表等。GitLab12.5版本至12.8.1版本中存在安全漏洞。攻擊者可利用該漏洞注入HTML。CNVD-2020-14291SolarWindsOrionPlatform2018.4HF3SolarWindsOrionPlatform2018.4HF3存在HTML注入漏洞。攻擊者可通過Web控制臺設置屏幕利用該漏洞進行存儲型HTML注入攻擊。CNVD-2020-13692AmazonAWSJavaScriptS3Explorerv2alphaAmazonAWSJavaScriptS3Explorerexplorer.js存在跨站腳本漏洞，遠程攻擊者利用該漏洞注入惡意腳本或HTML代碼，當惡意數(shù)據(jù)被查看時，可獲取敏感信息或劫持用戶會話。CNVD-2020-04110FoxitReader5114FoxitReader9435版本中的JavaScript引擎存在資源管理錯誤漏洞。攻擊者可通過誘使用戶打開惡意的文件利用該漏洞執(zhí)行任意代碼。CNVD-2020-27491jQueryjQuery>=1.0.3，<3.5.0jQuery存在跨站腳本漏洞。該漏洞源于WEB應用缺少對客戶端數(shù)據(jù)的正確驗證。攻擊者可利用該漏洞執(zhí)行客戶端代碼。CNVD-2019-11839jQueryjQuery<3.4.0jQuery3.4.0之前版本中存在跨站腳本漏洞，該漏洞源于WEB應用缺少對客戶端數(shù)據(jù)的正確驗證。攻擊者可利用該漏洞執(zhí)行客戶端代碼。CNVD-2019-44132AngularJSAngularJSAngularJS是一款基于TypeScript的開源Web應用程序框架。AngularJS中存在跨站腳本漏洞，該漏洞源于WEB應用缺少對客戶端數(shù)據(jù)的正確驗證，攻擊者可利用該漏洞執(zhí)行客戶端代碼。CNVD-2019-23270BootstrapBootstrap<3.4.0Bootstrap3.4.0之前版本中的affix存在跨站腳本漏洞，遠程攻擊者可利用該漏洞注入任意的Web腳本或HTML。CNVD-2019-23271BootstrapBootstrap<3.4.0Bootstrap3.4.0之前版本中的tooltipdata-viewport屬性存在跨站腳本漏洞，遠程攻擊者可利用該漏洞注入任意的Web腳本或HTML。CNVD-2019-23272virt-bootstrapvirt-bootstrap1.1.0BootstrapBootstrap4.*-beta，<4.0.0-beta.2Bootstrap3.4.0之前的3.x版本和4.0.0-beta.2之前的4.x-beta版本中的data-target屬性存在跨站腳本漏洞，遠程攻擊者可利用該漏洞注入任意的Web腳本或HTML。第3章：服務器技術要點服務器操作系統(tǒng)三個開源Linux操作系統(tǒng)六大Web服務器Web服務器技術相關安全漏洞披露1服務器操作系統(tǒng)服務器操作系統(tǒng)可以實現(xiàn)對計算機硬件與軟件的直接控制和管理協(xié)調。任何計算機的運行離不開操作系統(tǒng)，服務器也一樣。服務器操作系統(tǒng)主要分為四大流派：WindowsServer、Netware、Unix、Linux。對服務器操作系統(tǒng)進行安全加固是減少脆弱性并提升系統(tǒng)安全的一個過程，其中主要包括：打上補丁消滅已知安全漏洞、去掉不必要的服務、禁止使用不安全賬號密碼登錄、禁用不必要的端口等。1.1WindowsServerWindowsServer系統(tǒng)：1）優(yōu)點：WindowsServer系統(tǒng)相對于其他服務器系統(tǒng)而言，極其易用，極大降低使用者的學習成本。2）缺點：WindowsServer系統(tǒng)對服務器硬件要求較高、穩(wěn)定性不是很好。3）應用：WindowsServer系統(tǒng)適用于中、低檔服務器中。WindowsServer系統(tǒng)安全加固：安全加固是企業(yè)安全中及其重要的一環(huán)，其主要內容包括賬號安全、認證授權、協(xié)議安全、審計安全等。更多請參考書籍。1.2NetwareNetware系統(tǒng)：1）優(yōu)點：Netware系統(tǒng)具有優(yōu)秀的批量處理功能和安全、穩(wěn)定的系統(tǒng)性能，且兼容DOS命令，支持豐富的應用軟件，對無盤站和游戲有著較好的支持，對網絡硬件要求較低。2）缺點：Netware系統(tǒng)操作大部分依靠手工命令實現(xiàn)，不夠人性化；對硬盤識別最高只能達到1G，無法滿足TB級數(shù)據(jù)的存儲。3）應用：Netware系統(tǒng)適用于低檔服務器，常運用在中小型企業(yè)、學校、游戲廳。Netware系統(tǒng)安全加固：1）NetWare的用戶類型：網絡管理員（通過設置用戶權限來實現(xiàn)網絡安全保護措施）、組管理員、網絡操作員（FCONSOLE操作員，隊列操作員、控制臺操作員）、普通網絡用戶。2）NetWare的四級安全保密機制：注冊安全性、用戶信任者權限、最大信任者權限屏蔽、目錄與文件服務3）NetWare操作系統(tǒng)的系統(tǒng)容錯技術1.3UnixUnix系統(tǒng)：1）優(yōu)點：Unix系統(tǒng)支持大型文件系統(tǒng)服務、數(shù)據(jù)服務應用，功能強大、穩(wěn)定性和安全性能好。2）缺點：Unix系統(tǒng)操作主要以命令的方式進行，不容易掌握。3）應用：大型網站或是大型企、事業(yè)局域網中。Unix系統(tǒng)安全加固：系統(tǒng)安全加固包括的內容很多，以下舉2個例子說明。1）關閉不必要的服務，比如收發(fā)郵件服務。

先關閉sendmail服務自動啟動功能，使用root用戶編輯/etc/rc.config.d/mailservs文件，把exportSENDMAIL_SERVER=1改為

exportSENDMAIL_SERVER=0。

然后

ps-ef|grepsendmail檢查進程是否已經終止了，root用戶執(zhí)行

/sbin/init.d/sendmailstop關閉sendmail進程，root用戶執(zhí)行

/sbin/init.d/SnmpMasterstop關閉snmp服務。2）通過IP限制用戶遠程登錄。

在etc下創(chuàng)建hosts.allow和hosts.deny文件，該文件完成主機訪問權限控制。hosts.deny文件設置工作站拒絕的ip地址和服務范圍。

hosts.allow文件設置工作站允許的ip地址和服務范圍。1.4LinuxLinux系統(tǒng)：1）優(yōu)點：Linux系統(tǒng)是開源系統(tǒng)，受到所有開發(fā)者的共同監(jiān)督，已經是非常成熟的服務器系統(tǒng)，并且擁有著一套完整的權限機制，安全性與穩(wěn)定性都很高。2）缺點：Linux系統(tǒng)操作需要一定時間的學習。3）應用：Linux系統(tǒng)適用于中、高檔服務器中。Linux系統(tǒng)安全加固：對Linux系統(tǒng)進行安全加固，主要策略涉及到如下幾點：取消所有服務器的root遠程ssh登錄，限制su-root的用戶權限，同時ssh登錄端口調整，外網ssh登錄全部調整；調整密碼過期時間和復雜度；調整網絡泛洪、SYN等防攻擊策略參數(shù)；清理服務器無效賬戶如lp、news等，調整系統(tǒng)關鍵目錄權限；優(yōu)化服務器連接數(shù)參數(shù)；日志管理：登錄認證記錄等。2三個開源Linux操作系統(tǒng)Linux有非常多的發(fā)行版本，從性質上劃分，大體分為由商業(yè)公司維護的商業(yè)版本與由開源社區(qū)維護的免費發(fā)行版本。商業(yè)版本以Redhat為代表，開源社區(qū)版本則以Debian為代表。CentOS、Ubuntu、Debian三個Linux版本都是非常優(yōu)秀的系統(tǒng)。2.1CentOSCentOS（CommunityEnterpriseOperatingSystem，中文意思是社區(qū)企業(yè)操作系統(tǒng)）是Linux發(fā)行版之一，它是來自于RedHatEnterpriseLinux依照開放源代碼規(guī)定釋出的源代碼所編譯而成。由于出自同樣的源代碼，因此有些要求高度穩(wěn)定性的服務器以CentOS替代商業(yè)版的RedHatEnterpriseLinux使用。兩者的不同，在于CentOS完全開源。很多網站站長一般都選擇CentOS系統(tǒng)，CentOS去除很多與服務器功能無關的應用，系統(tǒng)簡單但非常穩(wěn)定，命令行操作可以方便管理系統(tǒng)和應用，并且有幫助文檔和社區(qū)的支持。CentOS系統(tǒng)安全加固，更多請參考書籍：設置密碼失效時間，強制定期修改密碼，減少密碼被泄漏和猜測風險：在/etc/login.defs中將PASS_MAX_DAYS參數(shù)設置為60-180之間。參數(shù)：PASS_MAX_DAYS90執(zhí)行命令為：root:chage--maxdays90root2.2UbuntuUbuntuLinux是由南非人MarkShuttleworth創(chuàng)辦的基于DebianLinux的操作系統(tǒng)，開于2004年10月公布Ubuntu的第一個版本(Ubuntu4.10WartyWarthog)。用戶下載、使用、分享Ubuntu系統(tǒng)，以及獲得技術支持與服務，無需支付任何許可費用。Ubuntu被視為一種傳統(tǒng)的非洲民族理念，同時也被認為是南非共和國的建國準則之一，并且與非洲復興的理想密切相關。該詞源于祖魯語和科薩語，它的核心理念是“人道待人”，“我的存在是因為大家的存在”，著眼于人們之間相互的忠誠與交流。Ubuntu系統(tǒng)安全加固，更多請參考書籍：1）刪除系統(tǒng)不需要的默認賬號：#userdellp#groupdellp#passwd–llp如果下面這些系統(tǒng)默認帳號不需要的話，建議刪除。Lp、syncnews、uucp、games、bin、man2.3DebianDebian作為適合于服務器的操作系統(tǒng)，它比Ubuntu要穩(wěn)定得多?？梢哉f穩(wěn)定得無與倫比了。Debian整個系統(tǒng)，只要應用層面不出現(xiàn)邏輯缺陷，基本上固若金湯，是個常年不需要重啟的系統(tǒng)。Debian整個系統(tǒng)基礎核心非常小，不僅穩(wěn)定，而且占用硬盤空間小，占用內存小。但是由于Debian的發(fā)展路線，使它的幫助文檔相對于CentOS略少，技術資料也少一些。Debian系統(tǒng)安全加固，更多請參考書籍：防止任何人都可以su為root

在/etc/pam.d/su中添加如下兩行。authsufficient/lib/security/$ISA/pam_rootok.sodebugauthrequired/lib/security/$ISA/pam_wheel.sogroup=wheel2.采用最少服務原則

凡是不需要的服務一律注釋掉。在/etc/inetd.conf中不需要的服務前加"#"。3六大Web服務器統(tǒng)計數(shù)據(jù)顯示，超過80%的web應用程序和網站都是使用的開源Web服務器。目前最為流行的Web服務器有ApacheHTTPServer、IIS、GFE、Nginx、Lighttpd、Tomcat等。3.1ApacheHTTPServerApacheHTTPServer（簡稱Apache），是Apache軟件基金會的一個開放源代碼的網頁服務器，可以在大多數(shù)電腦操作系統(tǒng)中運行，由于其具有的跨平臺性和安全性，被廣泛使用，是最流行的Web服務器端軟件之一。它快速、可靠并且可通過簡單的API擴展，Perl/Python解釋器可被編譯到服務器中，可以創(chuàng)建一個每天有數(shù)百萬人訪問的Web服務器。ApacheHTTPServer安全加固：更多請參考書籍隱藏Apache版本號，隱藏Apache的版本號及其它敏感信息。修改httpd.conf配置文件：ServerSignatureOffServerTokensProd3.2IISIIS（InternetInformationServices：互聯(lián)網信息服務）是由微軟公司提供的基于運行MicrosoftWindows的互聯(lián)網基本服務。IIS是一種Web（網頁）服務組件，其中包括Web服務器、FTP服務器、NNTP服務器和SMTP服務器，分別用于網頁瀏覽、文件傳輸、新聞服務和郵件發(fā)送等方面，它使得在網絡（包括互聯(lián)網和局域網）上發(fā)布信息成了一件很容易的事。IIS安全加固：更多參考書籍1）停用或刪除默認站點IIS安裝后的默認主目錄是“C:\inetpub\wwwroot”，為更好地抵抗踩點、刺探等攻擊行為，應該更改主目錄位置，禁用默認站點，新建立站點并進行安全配置。

開始->管理工具->Internet信息服務(IIS)管理器選擇相應的站點，然后右鍵站點，選擇停止或者刪除。2）卸載不需要的IIS角色服務

通常下列角色可以刪除：“默認文檔”，“目錄瀏覽”，“CGI”，“在服務器端的包含文件”。3.3GFEGFE（GoogleFrontEnd：谷歌前端服務器）。谷歌基礎設施內部的服務需要通過谷歌前端服務（GFE）注冊之后，才能運行于外部互聯(lián)網上。GFE確保所有TLS連接必須使用正確的證書和安全策略，同時還能起到防御DoS攻擊的作用。GFE對請求的轉發(fā)使用了前述的RPC安全協(xié)議。實際上，任何通過GFE注冊運行于互聯(lián)網的內部服務都是敏捷的反向前端代理服務，該前端不僅能提供服務的DNS公共IP，還能起到DoS防御和TLS保護作用。3.4NginxNginx(enginex)是一個高性能的HTTP和反向代理web服務器，同時也提供了IMAP/POP3/SMTP服務。俄羅斯人IgorSysoev從2002年開始開發(fā)NGINX，并在2004年發(fā)布了第一個公開版本。NGINX的開發(fā)是為了解決C10K（C10K是如何處理1萬個并發(fā)連接的簡寫）問題，目前，全球有超過30%的網站在使用它。Nginx作為負載均衡服務：Nginx既可以在內部直接支持Rails和PHP程序對外進行服務，也可以支持作為HTTP代理服務對外進行服務。Nginx安全加固：更多參考書籍1）禁止目錄瀏覽

先備份nginx.conf配置文件，然后編輯配置文件，HTTP模塊添加如下一行內容：

autoindexoff;保存，然后后重啟nginx服務。2）隱藏版本信息

先備份nginx.conf配置文件，然后編輯配置文件，添加http模塊中如下一行內容：

server_tokensoff;保存，然后后重啟nginx服務。3.5LighttpdLighttpd是一個德國人領導的開源Web服務器軟件，其根本的目的是提供一個專門針對高性能網站，安全、快速、兼容性好并且靈活的Web服務器環(huán)境。具有非常低的內存開銷、CPU占用率低、效能好以及豐富的模塊等特點。Lighttpd是眾多開源輕量級的Web服務器中較為優(yōu)秀的一個。支持FastCGI，CGI，Auth，輸出壓縮，URL重寫，Alias等重要功能。Lighttpd安全加固：更多參考書籍強制定向到HTTPS，強制HTTP定向到HTTPS的部分配置。$HTTP["scheme"]=="http"{

$HTTP["host"]=~".*"{url.redirect=(".*"=>"https://%0$0")}}3.6TomcatApache只支持靜態(tài)網頁，但像PHP、CGI、JSP等動態(tài)網頁就需要Tomcat來處理。Tomcat是由Apache軟件基金會下屬的Jakarta項目開發(fā)的一個Servlet容器，按照SunMicrosystems提供的技術規(guī)范，實現(xiàn)了對Servlet和JavaServerPage（JSP）的支持，并提供了作為Web服務器的一些特有功能，如Tomcat管理和控制平臺、安全域管理和Tomcat閥等。Tomcat安全加固：更多參考書籍禁用tomcat默認帳號，打開conf/tomcat-user.xml文件，將以下用戶注釋掉：<!--

<rolerolename="tomcat"/>

<rolerolename="role1"/>

<userusername="tomcat"password="tomcat"roles="tomcat"/>

<userusername="both"password="tomcat"roles="tomcat,role1"/>

<userusername="role1"password="tomcat"roles="role1"/>-->4Web服務器技術Web服務器技術主要包括服務器、CGI、Servlet、PHP、ASP、ASP.NET和JSP技術。服務器就包括服務器操作系統(tǒng)的選擇。4.1PHPPHP即“超文本預處理器”，是一種通用開源腳本語言。PHP是在服務器端執(zhí)行的腳本語言，與C語言類似，是常用的網站編程語言。PHP獨特的語法混合了C、Java、Perl以及PHP自創(chuàng)的語法。利于學習，使用廣泛，主要適用于Web開發(fā)領域。PHP原始為PersonalHomePage的縮寫，后來更名為"PHP:HypertextPreprocessor"。自20世紀90年代國內互聯(lián)網開始發(fā)展到現(xiàn)在，互聯(lián)網信息幾乎覆蓋了人們日?；顒铀兄R范疇，并逐漸成為我們生活、學習、工作中必不可少的一部分。PHP安全設置：更多請參考書籍屏蔽PHP版本默認情況下PHP版本會被顯示在返回頭里，如：ResponseHeadersX-powered-by:PHP/7.2.0將php.ini中如下的配置值改為Offexpose_php=Off4.2JSPJSP（全稱JavaServerPages）是由SunMicrosystems公司主導創(chuàng)建的一種動態(tài)網頁技術標準。JSP部署于網絡服務器上，可以響應客戶端發(fā)送的請求，并根據(jù)請求內容動態(tài)地生成HTML、XML或其他格式文檔的Web網頁，然后返回給請求者。JSP技術以Java語言作為腳本語言，為用戶的HTTP請求提供服務，并能與服務器上的其它Java程序共同處理復雜的業(yè)務需求。JSP安全設置：JSP安全中出現(xiàn)的像源代碼暴露、遠程程序執(zhí)行等問題，主要通過在服務器軟件網站下載安裝最新的補丁來解決。4.3ASP/ASP.NETASP即ActiveServerPages，是Microsoft公司開發(fā)的服務器端腳本環(huán)境，可用來創(chuàng)建動態(tài)交互式網頁并建立強大的web應用程序。當服務器收到對ASP文件的請求時，它會處理包含在用于構建發(fā)送給瀏覽器的HTML網頁文件中的服務器端腳本代碼。除服務器端腳本代碼外，ASP文件也可以包含文本、HTML（包括相關的客戶端腳本）和com組件調用。ASP/ASP.NET安全設置：1）保護WINDOWS：使用NTFS格式；選擇安全的口令；重新設置管理員帳戶，重新命名或重新建立；刪除不必要的共享；設置ACL等。2）設置windows安全性使用微軟提供的模板。3）在ASP.NET的web.config中使用URL授權；可以允許或拒絕。4）ASP.NET帳戶缺省該用戶只擁有本地USERS組的權限。4.4CGICGI（CommonGatewayInterface，公共網關接口）是Web服務器運行時外部程序的規(guī)范，按CGI編寫的程序可以擴展服務器功能。CGI應用程序能與瀏覽器進行交互，還可通過數(shù)據(jù)API與數(shù)據(jù)庫服務器等外部數(shù)據(jù)源進行通信，從數(shù)據(jù)庫服務器中獲取數(shù)據(jù)。格式化為HTML文檔后，發(fā)送給瀏覽器，也可以將從瀏覽器獲得的數(shù)據(jù)放到數(shù)據(jù)庫中。CGI安全加固：使用最新版本的Web服務器，安裝最新的補丁程序，正確配置服務器。按照幫助文件正確安裝CGI程序，刪除不必要的安裝文件和臨時文件。使用C編寫CGI程序時，使用安全的函數(shù)。使用安全有效的驗證用戶身份的方法。驗證用戶的來源，防止用戶短時間內過多動作。推薦過濾“&;`'\"|*?~<>;^()[]{}$\n\r\t\0#../”。4.5ServletServlet（ServerApplet）是JavaServlet的簡稱，稱為小服務程序或服務連接器，用Java編寫的服務器端程序，具有獨立于平臺和協(xié)議的特性，主要功能在于交互式地瀏覽和生成數(shù)據(jù)，生成動態(tài)Web內容。Servlet安全加固：更多參考書籍一般說來，Servlet會部署到Internet上，因此需要一些安全性的考慮。可以制定Servlet的安全模式，例如角色、訪問控制、鑒權等。這些都可以用annotation或web.xml進行配置。5近期服務器技術相關安全漏洞披露漏洞號影響產品漏洞描述CNVD-2020-25576MicrosoftWindowsServer1803MicrosoftWindowsServer2019MicrosoftWindowsServer1903MicrosoftWindowsServer1909MicrosoftWindows和WindowsServer中存在提權漏洞，攻擊者可通過登錄到系統(tǒng)并運行特制的應用程序利用該漏洞在內核模式下運行任意代碼。CNVD-2020-24063MicrosoftWindowsServer2016MicrosoftWindowsServer1803MicrosoftWindowsServer2019MicrosoftWindowsServer1903MicrosoftWindowsAdobeFontManagerLibrary中存在遠程代碼執(zhí)行漏洞，該漏洞源于程序未正確處理特制的MM字體（一種AdobeType1PostScript格式），攻擊者可借助特制的文檔利用該漏洞以有限的權限在AppContainer沙盒上下文中執(zhí)行代碼。CNVD-2018-23882NovellNetware<6.5SP8NovellNetWare6.5SP8之前版本中的PKERNEL.NLM的CALLITRPC調用的處理存在棧緩沖區(qū)溢出漏洞。遠程攻擊者可利用該漏洞執(zhí)行代碼。CNVD-2020-28054LinuxLinuxkernelLinuxkernel（用于PowerPC處理器）中KVM的存在安全漏洞，該漏洞源于程序未能正確將虛擬機的狀態(tài)和主機狀態(tài)分離。攻擊者可利用該漏洞造成拒絕服務。CNVD-2019-46764CentOSWebPanel（CWP）64CentOSWebPanel（CWP）是一款免費的虛擬主機控制面板。CentOSWebPanel存在密碼泄露漏洞。攻擊者可利用該漏洞泄露密碼。CNVD-2019-45005UbuntuUbuntu19.10UbuntuUbuntu18.04LTSUbuntu是英國科能（Canonical）公司和Ubuntu公司的一套以桌面應用為主的GNU/Linux操作系統(tǒng)。Ubuntu中'ubuntu-aufs-modifiedmmap_region'函數(shù)存在安全漏洞。遠程攻擊者可通過發(fā)送特制的請求利用該漏洞造成拒絕服務。CNVD-2017-30418DebianDebian<2.0.7Debian2.0.7之前的版本中的inspircd存在任意代碼執(zhí)行漏洞，該漏洞源于程序未能正確的處理未簽名的整數(shù)。遠程攻擊者可借助特制的DNS請求利用該漏洞執(zhí)行代碼。CNVD-2020-21904ApacheHTTPServer>=2.4.0，<=2.4.41ApacheHTTPServer2.4.0版本至2.4.41版本中存在輸入驗證錯誤漏洞。該漏洞源于網絡系統(tǒng)或產品未對輸入的數(shù)據(jù)進行正確的驗證。目前沒有詳細的漏洞細節(jié)提供。CNVD-2020-03021NginxUbuntu14.04ESMNGINX信息泄露漏洞，攻擊者可利用該漏洞使Nginx通過網絡公開敏感信息。CNVD-2020-15689ApacheTomcat>=9.0.28，<=9.0.30ApacheTomcat>=8.5.48，<=8.5.50ApacheTomcat>=7.0.98，<=7.0.99ApacheTomcat9.0.28-9.0.30、8.5.48-8.5.50、7.0.98-7.0.99存在HTTP請求走私漏洞。該漏洞源于對無效Transfer-Encodingheader處理不正確。如果Tomcat位于反向代理之后，而反向代理以特定方式錯誤地處理了無效的Transfer-Encodingheader，則攻擊者可利用該漏洞進行HTTP請求走私。第4章：數(shù)據(jù)庫技術要點數(shù)據(jù)庫技術常見數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫技術新動態(tài)相關安全漏洞披露1數(shù)據(jù)庫技術數(shù)據(jù)庫技術是信息系統(tǒng)的一個核心技術。是一種計算機輔助管理數(shù)據(jù)的方法，它研究如何組織和存儲數(shù)據(jù)，如何高效地獲取和處理數(shù)據(jù)。是通過研究數(shù)據(jù)庫的結構、存儲、設計、管理以及應用的基本理論和實現(xiàn)方法，并利用這些理論來實現(xiàn)對數(shù)據(jù)庫中的數(shù)據(jù)進行處理、分析和理解的技術。即：數(shù)據(jù)庫技術是研究、管理和應用數(shù)據(jù)庫的一門軟件科學。數(shù)據(jù)庫技術是現(xiàn)代信息科學與技術的重要組成部分，是計算機數(shù)據(jù)處理與信息管理系統(tǒng)的核心。數(shù)據(jù)庫技術研究和解決了計算機信息處理過程中大量數(shù)據(jù)有效地組織和存儲的問題，在數(shù)據(jù)庫系統(tǒng)中減少數(shù)據(jù)存儲冗余、實現(xiàn)數(shù)據(jù)共享、保障數(shù)據(jù)安全以及高效地檢索數(shù)據(jù)和處理數(shù)據(jù)。1.1數(shù)據(jù)庫基礎知識數(shù)據(jù)庫技術產生于20世紀60年代末70年代初，其主要目的是有效地管理和存取大量的數(shù)據(jù)資源。數(shù)年來，數(shù)據(jù)庫技術和計算機網絡技術的發(fā)展相互滲透，相互促進，已成為當今計算機領域發(fā)展迅速，應用廣泛的兩大領域。數(shù)據(jù)庫技術不僅應用于事務處理，并且進一步應用到情報檢索、人工智能、專家系統(tǒng)、計算機輔助設計等領域。數(shù)據(jù)管理技術是對數(shù)據(jù)進行分類、組織、編碼、輸入、存儲、檢索、維護和輸出的技術。數(shù)據(jù)管理技術的發(fā)展大致經過了以下三個階段：人工管理階段；文件系統(tǒng)階段；數(shù)據(jù)庫系統(tǒng)階段。數(shù)據(jù)庫理論領域中最常見的數(shù)據(jù)模型主要有層次模型、網狀模型和關系模型3種。數(shù)據(jù)庫技術發(fā)展的又一趨勢：數(shù)據(jù)庫與學科技術的結合將會建立一系列新數(shù)據(jù)庫，如分布式數(shù)據(jù)庫、并行數(shù)據(jù)庫、知識庫、多媒體數(shù)據(jù)庫等，這將是數(shù)據(jù)庫技術重要的發(fā)展方向。其中，許多研究者都對多媒體數(shù)據(jù)庫作為研究的重點，并認為多媒體技術和可視化技術引入多媒體數(shù)據(jù)庫將是未來數(shù)據(jù)庫技術發(fā)展的熱點和難點。1.2數(shù)據(jù)庫典型攻擊方法口令入侵特權提升漏洞入侵SQL注入竊取備份DDOS軟件攻擊2常見數(shù)據(jù)庫系統(tǒng)目前常見的數(shù)據(jù)庫系統(tǒng)有：Oracle、DB2、SQLServer、MySQL、PostgreSQL、SQLite等。2.1Oracle20世紀約70年代一間名為Ampex的軟件公司，正為中央情報局設計一套名叫Oracle的數(shù)據(jù)庫，埃里森是程序員之一。Oracle能在所有主要的平臺（其中包括Windows）上運行，并且完全支持所有的工業(yè)標準。Oracle安全加固：更多請參考書籍安全補丁的更新及時更新數(shù)據(jù)庫的安全補丁，減少數(shù)據(jù)庫系統(tǒng)可能受到的安全攻擊面。參考Oracle廠商建議，僅對已發(fā)現(xiàn)的特定漏洞或缺陷安裝相應補丁。2.$ORACLE_HOME/bin目錄權限保護確保對$ORACLE_HOME/bin目錄的訪問權限盡可能少，運行命令：chown–Roracle:dba$ORACLE_HOME/bin驗證：ls–l$ORACLE_HOME/bin

確保該目錄下的文件屬主為oracle用戶，且其他用戶沒有寫權限。2.2DB2DB2是美國IBM公司開發(fā)的一套關系型數(shù)據(jù)庫管理系統(tǒng)，它主要的運行環(huán)境為UNIX（包括IBM自家的AIX）、Linux、IBMi（舊稱OS/400）、z/OS，以及Windows服務器版本。DB2主要應用于大型應用系統(tǒng)，具有較好的可伸縮性，可支持從大型機到單用戶環(huán)境，應用于所有常見的服務器操作系統(tǒng)平臺下。DB2數(shù)據(jù)庫安全加固：更多請參考書籍：1）用戶身份驗證失敗鎖定對于采用靜態(tài)口令認證技術的數(shù)據(jù)庫，應在用戶連續(xù)認證失敗次數(shù)超過6次（不含6次）時配置。修改/etc/login.defs，設置：vi/etc/login.defsLOGIN_RETRIES62.3SQLServerSQLServer是Microsoft公司推出的關系型數(shù)據(jù)庫管理系統(tǒng)。具有使用方便可伸縮性好與相關軟件集成程度高等優(yōu)點，可跨越從運行MicrosoftWindows98的微型電腦到運行MicrosoftWindows2012的大型多處理器的服務器等多種平臺使用。SQLServer安全加固：更多請參考書籍1）安裝安全補丁

在補丁安裝之前建議先對數(shù)據(jù)庫進行備份，停止SQLServer服務，然后在MicrosoftSQLServerDownloadWebSite下載補丁進行安裝。2）禁用不必要的服務

在SQLServer缺省安裝時，有MSSQLSERVER、QLSERVERAGENT、SSQLServerADHelper、MicrosoftSearch這四個服務，除了MSSQLSERVER外，其他的如果不需要，建議禁用。2.4MySQLMySQL是一個關系型數(shù)據(jù)庫管理系統(tǒng)，由瑞典MySQLAB公司開。MySQL是最流行的關系型數(shù)據(jù)庫管理系統(tǒng)之一，在WEB應用方面，MySQL是最好的RDBMS（RelationalDatabaseManagementSystem，關系數(shù)據(jù)庫管理系統(tǒng)）應用軟件之一。MySQL安全加固：更多請參考書籍1）限制連接用戶的數(shù)量數(shù)據(jù)庫的某用戶多次遠程連接，會導致性能的下降和影響其他用戶的操作，有必要對其進行限制?？梢酝ㄟ^限制單個賬戶允許的連接數(shù)量來實現(xiàn)，設置f文件的mysqld中的max_user_connections變量來完成。GRANT語句也可以支持資源控制選項來限制服務器對一個賬戶允許的使用范圍。#vi/etc/f[mysqld]max_user_connections=22.5PostgreSQLPostg