《网络空间安全技术实践教程》课件1.2课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《《网络空间安全技术实践教程》课件1.2课件.pptx》由用户(momomo)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络空间安全技术实践教程 网络 空间 安全技术 实践 教程 课件 1.2
- 资源描述:
-
1、第一篇第一篇 网络空间安全实践入门篇网络空间安全实践入门篇第一章 网络应用系统使用与分析实验1.2 网站系统使用与分析网络空间安全技术实践教程11.2网站系统使用与分析网站系统使用与分析实验目的:本实验主要是对电商(淘宝),信息平台(163),视频资源(土豆视频),论坛(天涯),国外大学(斯坦福)等网站进行浏览使用,并分析其功能:包括页面风格设计,板块功能,管理员身份,使用用户身份;并查看源代码分析其采用的技术或协议,以对现有网站系统相关技术有一个深入的认识和理解。网络空间安全技术实践教程21.2网站系统使用与分析网站系统使用与分析实验要点说明:(实验难点说明)p对各类网站进行浏览使用,根据网
2、站主要业务分析页面风格设计、板块功能p对网站的管理员身份、使用用户身份进行分析p查看网站源代码分析其采用的技术或协议p找出网站存在待改进的地方网络空间安全技术实践教程31.2网站系统使用与分析网站系统使用与分析实验准备:(实验环境,实验先有知识技术说明)p具有具有联网功能的计算机(装有win7/8/10,linux,mac等操作系统)pChrome浏览器(版本 56.0.2924.76(64-bit))p齐云测(http:/ (1)淘宝首页页面风格设计 如图1-2-1所示,淘宝首页风格以索引导航功能和推广功能为主,信息丰富又有序,颜色亮丽,根据不同节假日在首页摆放不同主题的图片,营销目的明确。
3、首页左侧显眼的橙色导航栏中有详细的商品分类导航,便于用户寻找所需物品。首页中间部分有尺寸巨大的多功能搜索框,除文字搜索外,可以根据商品图片或条形码搜索同类商品。页面正中央由多组轮播图组成,循环播放折扣的推荐商品。网络空间安全技术实践教程51.2网站系统使用与分析网站系统使用与分析实验步骤:1)电商平台淘宝网站系统使用和分析 (2)淘宝网站功能分析 淘宝网站主要分为四个板块:首页上方的导航栏主要提供用户个人中心的功能,登陆后可以修改用户的个人资料、查看购物车、订单等信息;第二个板块为搜索和商品导航功能:通过左侧的筛选框或上方搜索框,用户可以更加便捷的找到想要购买的物品,中间部分为淘宝推广商品,右
4、侧类似导航中心的部分很像支付宝的导航,可以指引用户更加便捷的使用相关服务;值得说明的是网站首页只有一个搜索框,且有敏感字符串过滤功能。可以避免简单的注入攻击;如图1-2-2,第三个板块为商品推荐模块:同类商品集合在一个方框内推荐。网络空间安全技术实践教程61.2网站系统使用与分析网站系统使用与分析实验步骤:1)电商平台淘宝网站系统使用和分析 (2)淘宝网站功能分析 根据用户浏览记录和购买记录通过算法生成用户可能感兴趣的商品。淘宝通过出售推荐位置获利。第四个板块为友情链接及相应的资格认证,位于网页最底端。网络空间安全技术实践教程71.2网站系统使用与分析网站系统使用与分析实验步骤:1)电商平台淘
5、宝网站系统使用和分析 (3)淘宝网站用户分析 管理员用户主要分为系统平台管理员,业务管理管理员,数据库维护管理员,安全维保管理员等等。系统平台管理员通过对服务器进行配置与维护保障网站的正常运行;业务管理管理员负责选择推荐商品以及商品的审核;数据库维护管理员负责数据库的开发与维护,为满足海量数据存储,需要多台数据库服务器共同存储,在管理员的配置下协调工作。安全维保管理员负责处理买卖家之间的纠纷与问题商品的举报。网络空间安全技术实践教程81.2网站系统使用与分析网站系统使用与分析实验步骤:1)电商平台淘宝网站系统使用和分析 (3)淘宝网站用户分析 卖家用户分为出售商品商家和出售技术商家。经过用户申
6、请与淘宝公司审核后,便可成为卖家用户,可在淘宝网上出售商品。如图1-2-3所示,出售商品商家对买家出售物品,出售技术商家针对卖家提供页面美化、图片美化等服务。图1-2-4为商家出售商品界面。网络空间安全技术实践教程91.2网站系统使用与分析网站系统使用与分析实验步骤:1)电商平台淘宝网站系统使用和分析 (3)淘宝网站用户分析 买家用户为购买或打算购买商品的人员。买家用户可以浏览首页、商品详情页、购物车页面和订单页面。卖家与买家身份不冲突,一个人可以既是淘宝买家又是淘宝卖家。网络空间安全技术实践教程101.2网站系统使用与分析网站系统使用与分析实验步骤:1)电商平台淘宝网站系统使用和分析 (4)
7、淘宝网站技术分析 淘宝网站加载时首页时需要200个左右的资源,通过浏览器的开发者工具可以查看每个文件具体内容。以chrome浏览器为例,点击设置-更多工具-开发者工具-选择network,刷新页面,便可以捕获具体内容。网络空间安全技术实践教程111.2网站系统使用与分析网站系统使用与分析实验步骤:1)电商平台淘宝网站系统使用和分析 (4)淘宝网站技术分析 淘宝网站首页资源如此丰富,但是全国各地使用访问速度又相当快,初步猜测为使用CDN,具体分析如下:一个网站全国各地都可以浏览,通过CDN(Content Delivery Network)内容分发网络可以有效提高访问速度。判断一个网站是否开启了
8、CDN需要在不同省份ping同个域名,可以利用网站访问速度测试工具(如站长工具、齐云测)进行测试,我们采用上述工具对淘宝网站进行了测试,结果如图所示,由图1-2-6所示,不同省份淘宝域名解析的IP不同,因此,可以确定淘宝网站使用了CDN。网络空间安全技术实践教程121.2网站系统使用与分析网站系统使用与分析实验步骤:1)电商平台淘宝网站系统使用和分析 (4)淘宝网站技术分析 同时,通过查看页面源码,可以观察更多的技术细节。所有主流浏览器都含有查看页面源码功能,在淘宝网站目标页面右键,选择查看网页源代码选项,得到图1-2-7所示代码。网络空间安全技术实践教程131.2网站系统使用与分析网站系统使
9、用与分析实验步骤:1)电商平台淘宝网站系统使用和分析 (4)淘宝网站技术分析 通过网页源代码可以获取图片链接具体地址,JS文件路径、css文件路径;其中CSS叫做层叠样式表,用来布置网页格式,包括文字大小颜色、图片位置等;JS全称JavaScript,是一种脚本语言,用来为HTML增添动态功能。通过对网站系统URLhttps:/的观察,淘宝使用了HTTPS协议。HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是基于SSL协议的超文本传输协议,在传输过程中将内容加密,使得传输的信息更加安全。网络空间安全技术实践教程1
10、41.2网站系统使用与分析网站系统使用与分析实验步骤:1)电商平台淘宝网站系统使用和分析 (5)淘宝网站分析与思考 通过使用淘宝网站,以及网页源代码的分析,并结合网络信息,请分析,淘宝网站在功能上,技术上,特别是安全技术上的优势,还有哪些需要改进的?网络空间安全技术实践教程151.2网站系统使用与分析网站系统使用与分析实验步骤:2)信息平台网易163网站使用和分析 (1)网易163首页页面风格设计 如图1-2-2,信息平台注重信息内容,网易首页信息量丰富且以不同字号的文字突出热点新闻。页面以鲜艳的动态图片为背景,用不同尺寸的矩形为基本单位填充文字搭配图片作为内容展示模块,内容排列整齐。分类新闻
11、模块使用统一模板,标题栏含有分类名称,下方左侧为图片加新闻标题,右侧为文字新闻标题。网络空间安全技术实践教程161.2网站系统使用与分析网站系统使用与分析实验步骤:2)信息平台网易163网站使用和分析 (2)网易163网站功能分析 网易163作为信息平台,主要功能为发布新闻信息,同时网易利用163官网作为自家产品的入口,通过首页可以快速使用网易旗下产品。如上页的图片所示,网易首页主要分为四个板块,首页上方的导航栏提供了网易其他服务的链接,网易主打的考拉海淘占据了显眼的位置,其次是网易邮箱,网易支付、登陆等功能;第二个板块为分类导航和热门新闻。通过分类导航,人们可以快速找到感兴趣的文章。热门新闻
12、是一个信息网站的重点,最快,最可靠又吸引人的新闻可以增加大量阅读量。此版块右侧是网易其他业务的推广。网络空间安全技术实践教程171.2网站系统使用与分析网站系统使用与分析实验步骤:2)信息平台网易163网站使用和分析 (2)网易163网站功能分析 第三个板块为分类新闻。根据类别显示相应的热点新闻。此版块使用相同模板,管理员可以随时增添新类别文章。第四个板块为友情链接和响应的资格认证,在中国域名需要ICP备案,信息网站需要互联网新闻信息服务许可证等资格证明。新闻详情页面如图1-2-10所示,左侧为新闻具体内容,右侧为相关推荐。当前主流新闻网站多采用此布局。网络空间安全技术实践教程181.2网站系
13、统使用与分析网站系统使用与分析实验步骤:2)信息平台网易163网站使用和分析 (2)网易163网站功能分析 网易公司拥有多种业务,海淘、邮箱、网上支付,通过网易163首页顶端导航栏可以快速使用,如图所示。网络空间安全技术实践教程191.2网站系统使用与分析网站系统使用与分析实验步骤:2)信息平台网易163网站使用和分析 (3)网易163网站用户分析 网易163网站用户分为2大类:管理员用户、读者用户。管理员用户可细分为技术管理员与媒体管理员。技术管理员负责维护网站软硬件,保障网站的正常运行;媒体管理员负责编辑与发布新闻。读者用户为浏览新闻的用户。用户登陆后可以享用网易全部服务,如通过网易考拉可
14、以实现网上购物功能,网易邮箱可以实现邮箱功能,网易支付可以实现在线支付功能。如此看来,网易首页可以作为用户的功能导航页面。网络空间安全技术实践教程201.2网站系统使用与分析网站系统使用与分析实验步骤:2)信息平台网易163网站使用和分析 (4)网易163网站技术分析 网易首页背景图片部分可动,通过调用chrome浏览器开发者工具(快捷键F12)的 Select an element in the page to inspect it 功能(开发者工具左上角小鼠标图像)选取动态图片部分,如图1-2-11。发现背景由小尺寸的元素组成,元素之间相互独立,互不影响。点击此部分,开发者工具的eleme
15、nts选项会出现对应部分代码,如图1-2-12,标签代表一个class=lantern的空白区域,在css文件中可以定义对应的格式、颜色等。如:lanternmargin-left:-795px,代表class为lantern 的元素,左外边距为-795个像素点。网络空间安全技术实践教程211.2网站系统使用与分析网站系统使用与分析实验步骤:2)信息平台网易163网站使用和分析 (4)网易163网站技术分析 通过浏览器查看页面源代码功能分析技术细节。发现如下代码:!function(i)functionn()functiont()vari=Math.round(+newDate-D)/1e3)
16、;returni0?0:ifunctiona(i)varn=i.className,t=c(i),a=script:1,style:1,link:1,img:1,hr:1,br:1,e=!0;returnat?e=!1:/blankd/.test(n)&(e=!1),efunctione(n)A|(v&window._ntes_sendInfo?(i.each(w,function(i,n)o(i),A=!0):w.push(n),A&o(n)function(i)returni62?z:String.fromCharCode(i+(i36?55:61)functionf(i,n)if(!n)
17、returni;vart=i.length-1,a=i.charCodeAt(t);returna58?a=48:a91?a=55:a123&(a=61),i.substr(0,t)+_(a+n)functionl(i,n,t)n&n.setAttribute(t?_:)+jcid,i)functions(i)if(i)var n=this.getAttribute(href)|;h+;var 网络空间安全技术实践教程221.2网站系统使用与分析网站系统使用与分析实验步骤:2)信息平台网易163网站使用和分析 (4)网易163网站技术分析 标签代表脚本。阅读发现该代码不符合JS脚本语法规则,通
18、过百度JS在线加密混淆工具进行测试,如图1-2-13。通过对比发现语法规则相似,可以确定此段JavaScript代码经过了JS加密混淆。通过加密混淆,可以有效减少JS文件大小,且让恶意攻击者无法读懂JS代码,减少被攻击的可能。网络空间安全技术实践教程231.2网站系统使用与分析网站系统使用与分析实验步骤:2)信息平台网易163网站使用和分析 (4)网易163网站技术分析 网易163首页的登陆功能通过登陆组件实现,不需要跳转到登陆页面,如图1-2-14。开发者工具的network功能可以捕获未经加密的用户名,但捕获不到密码,如图1-2-15。可以确定密码没有通过数据交互的形式传递给后台,有可能是
19、加密后存储进cookie,cookie存储在客户端,后台可以直接读取cookie,从而避免传递过程中的风险。同时,通过网站测试工具,可以发现网易云使用了CDN,如图1-2-16。网络空间安全技术实践教程241.2网站系统使用与分析网站系统使用与分析实验步骤:2)信息平台网易163网站使用和分析 (5)分析与思考 通过使用网易163网站,以及网页源代码的分析,并结合网络信息,请总结分析网易163网站在功能上,技术上的特点。网络空间安全技术实践教程251.2网站系统使用与分析网站系统使用与分析实验步骤:3)视频资源土豆视频网站使用和分析 (1)土豆视频首页页面风格设计 如图1-2-17,土豆视频首
20、页风格简洁明了,视频网站需要突出视频资源,所以推荐视频占据页面大部分,推荐视频按照先热门后分类的原则首先突出热门视频,随后根据分类展示推荐视频。左侧的导航栏可以引导用户打开感兴趣的视频资源,同时提供浏览记录、会员中心、订阅内容等服务。页面随处可见的橙色表现了土豆视频的主题色网络空间安全技术实践教程261.2网站系统使用与分析网站系统使用与分析实验步骤:3)视频资源土豆视频网站使用和分析 (2)土豆视频网站功能分析 首页主要分为三个板块。最上方包括土豆图标,搜索框和上传、登陆按钮用户可以在土豆视频上传自己的视频资源。第二部分为左侧导航栏导航栏包括订阅内容、观看记录、会员尊享、自频道。土豆的推广词
21、是:每个人都是生活的导演。所以对自频道的推广更是不遗余力。第三个板块为视频展示部分,视频在此版块进行播放。视频网站重点是视频的播放,如图1-2-18所示的视频播放页面担此重任。技术手段日新月异,如果在土豆播放页面将网页下拉至看不到视频的位置,页面会自动出现小窗口播放视频,当页面回到原位置,视频会自动还原,技术改变生活得到了充分体现。网络空间安全技术实践教程271.2网站系统使用与分析网站系统使用与分析实验步骤:3)视频资源土豆视频网站使用和分析 (2)土豆视频网站功能分析 土豆视频与其他视频网站的主要区别:用户可以上传视频文件,甚至创建自媒体频道,如图1-2-19。这也是土豆视频的亮点所在。网
展开阅读全文