《网络空间安全技术实践教程》课件1.2课件.pptx

1、第一篇第一篇 网络空间安全实践入门篇网络空间安全实践入门篇第一章 网络应用系统使用与分析实验1.2 网站系统使用与分析网络空间安全技术实践教程11.2网站系统使用与分析网站系统使用与分析实验目的：本实验主要是对电商（淘宝），信息平台（163），视频资源（土豆视频），论坛（天涯），国外大学（斯坦福）等网站进行浏览使用，并分析其功能：包括页面风格设计，板块功能，管理员身份，使用用户身份；并查看源代码分析其采用的技术或协议，以对现有网站系统相关技术有一个深入的认识和理解。网络空间安全技术实践教程21.2网站系统使用与分析网站系统使用与分析实验要点说明：（实验难点说明）p对各类网站进行浏览使用，根据网

2、站主要业务分析页面风格设计、板块功能p对网站的管理员身份、使用用户身份进行分析p查看网站源代码分析其采用的技术或协议p找出网站存在待改进的地方网络空间安全技术实践教程31.2网站系统使用与分析网站系统使用与分析实验准备：（实验环境，实验先有知识技术说明）p具有具有联网功能的计算机(装有win7/8/10，linux，mac等操作系统)pChrome浏览器（版本 56.0.2924.76(64-bit)）p齐云测（http:/ (1)淘宝首页页面风格设计 如图1-2-1所示，淘宝首页风格以索引导航功能和推广功能为主，信息丰富又有序，颜色亮丽，根据不同节假日在首页摆放不同主题的图片，营销目的明确。

3、首页左侧显眼的橙色导航栏中有详细的商品分类导航，便于用户寻找所需物品。首页中间部分有尺寸巨大的多功能搜索框，除文字搜索外，可以根据商品图片或条形码搜索同类商品。页面正中央由多组轮播图组成，循环播放折扣的推荐商品。网络空间安全技术实践教程51.2网站系统使用与分析网站系统使用与分析实验步骤：1）电商平台淘宝网站系统使用和分析 (2)淘宝网站功能分析 淘宝网站主要分为四个板块：首页上方的导航栏主要提供用户个人中心的功能，登陆后可以修改用户的个人资料、查看购物车、订单等信息；第二个板块为搜索和商品导航功能：通过左侧的筛选框或上方搜索框，用户可以更加便捷的找到想要购买的物品，中间部分为淘宝推广商品，右

4、侧类似导航中心的部分很像支付宝的导航，可以指引用户更加便捷的使用相关服务；值得说明的是网站首页只有一个搜索框，且有敏感字符串过滤功能。可以避免简单的注入攻击；如图1-2-2，第三个板块为商品推荐模块：同类商品集合在一个方框内推荐。网络空间安全技术实践教程61.2网站系统使用与分析网站系统使用与分析实验步骤：1）电商平台淘宝网站系统使用和分析 (2)淘宝网站功能分析 根据用户浏览记录和购买记录通过算法生成用户可能感兴趣的商品。淘宝通过出售推荐位置获利。第四个板块为友情链接及相应的资格认证，位于网页最底端。网络空间安全技术实践教程71.2网站系统使用与分析网站系统使用与分析实验步骤：1）电商平台淘

5、宝网站系统使用和分析 (3)淘宝网站用户分析 管理员用户主要分为系统平台管理员，业务管理管理员，数据库维护管理员，安全维保管理员等等。系统平台管理员通过对服务器进行配置与维护保障网站的正常运行；业务管理管理员负责选择推荐商品以及商品的审核；数据库维护管理员负责数据库的开发与维护，为满足海量数据存储，需要多台数据库服务器共同存储，在管理员的配置下协调工作。安全维保管理员负责处理买卖家之间的纠纷与问题商品的举报。网络空间安全技术实践教程81.2网站系统使用与分析网站系统使用与分析实验步骤：1）电商平台淘宝网站系统使用和分析 (3)淘宝网站用户分析 卖家用户分为出售商品商家和出售技术商家。经过用户申

6、请与淘宝公司审核后，便可成为卖家用户，可在淘宝网上出售商品。如图1-2-3所示，出售商品商家对买家出售物品，出售技术商家针对卖家提供页面美化、图片美化等服务。图1-2-4为商家出售商品界面。网络空间安全技术实践教程91.2网站系统使用与分析网站系统使用与分析实验步骤：1）电商平台淘宝网站系统使用和分析 (3)淘宝网站用户分析 买家用户为购买或打算购买商品的人员。买家用户可以浏览首页、商品详情页、购物车页面和订单页面。卖家与买家身份不冲突，一个人可以既是淘宝买家又是淘宝卖家。网络空间安全技术实践教程101.2网站系统使用与分析网站系统使用与分析实验步骤：1）电商平台淘宝网站系统使用和分析 (4)

7、淘宝网站技术分析 淘宝网站加载时首页时需要200个左右的资源，通过浏览器的开发者工具可以查看每个文件具体内容。以chrome浏览器为例，点击设置-更多工具-开发者工具-选择network，刷新页面，便可以捕获具体内容。网络空间安全技术实践教程111.2网站系统使用与分析网站系统使用与分析实验步骤：1）电商平台淘宝网站系统使用和分析 (4)淘宝网站技术分析 淘宝网站首页资源如此丰富，但是全国各地使用访问速度又相当快，初步猜测为使用CDN，具体分析如下：一个网站全国各地都可以浏览，通过CDN(Content Delivery Network)内容分发网络可以有效提高访问速度。判断一个网站是否开启了

8、CDN需要在不同省份ping同个域名，可以利用网站访问速度测试工具（如站长工具、齐云测）进行测试，我们采用上述工具对淘宝网站进行了测试，结果如图所示，由图1-2-6所示，不同省份淘宝域名解析的IP不同，因此，可以确定淘宝网站使用了CDN。网络空间安全技术实践教程121.2网站系统使用与分析网站系统使用与分析实验步骤：1）电商平台淘宝网站系统使用和分析 (4)淘宝网站技术分析 同时，通过查看页面源码，可以观察更多的技术细节。所有主流浏览器都含有查看页面源码功能，在淘宝网站目标页面右键，选择查看网页源代码选项，得到图1-2-7所示代码。网络空间安全技术实践教程131.2网站系统使用与分析网站系统使

9、用与分析实验步骤：1）电商平台淘宝网站系统使用和分析 (4)淘宝网站技术分析 通过网页源代码可以获取图片链接具体地址，JS文件路径、css文件路径；其中CSS叫做层叠样式表，用来布置网页格式，包括文字大小颜色、图片位置等；JS全称JavaScript，是一种脚本语言，用来为HTML增添动态功能。通过对网站系统URLhttps:/的观察，淘宝使用了HTTPS协议。HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是基于SSL协议的超文本传输协议，在传输过程中将内容加密，使得传输的信息更加安全。网络空间安全技术实践教程1

10、41.2网站系统使用与分析网站系统使用与分析实验步骤：1）电商平台淘宝网站系统使用和分析 (5)淘宝网站分析与思考 通过使用淘宝网站，以及网页源代码的分析，并结合网络信息，请分析，淘宝网站在功能上，技术上，特别是安全技术上的优势，还有哪些需要改进的？网络空间安全技术实践教程151.2网站系统使用与分析网站系统使用与分析实验步骤：2）信息平台网易163网站使用和分析 (1)网易163首页页面风格设计 如图1-2-2，信息平台注重信息内容，网易首页信息量丰富且以不同字号的文字突出热点新闻。页面以鲜艳的动态图片为背景，用不同尺寸的矩形为基本单位填充文字搭配图片作为内容展示模块，内容排列整齐。分类新闻

11、模块使用统一模板，标题栏含有分类名称，下方左侧为图片加新闻标题，右侧为文字新闻标题。网络空间安全技术实践教程161.2网站系统使用与分析网站系统使用与分析实验步骤：2）信息平台网易163网站使用和分析 (2)网易163网站功能分析 网易163作为信息平台，主要功能为发布新闻信息，同时网易利用163官网作为自家产品的入口，通过首页可以快速使用网易旗下产品。如上页的图片所示，网易首页主要分为四个板块，首页上方的导航栏提供了网易其他服务的链接，网易主打的考拉海淘占据了显眼的位置，其次是网易邮箱，网易支付、登陆等功能；第二个板块为分类导航和热门新闻。通过分类导航，人们可以快速找到感兴趣的文章。热门新闻

12、是一个信息网站的重点，最快，最可靠又吸引人的新闻可以增加大量阅读量。此版块右侧是网易其他业务的推广。网络空间安全技术实践教程171.2网站系统使用与分析网站系统使用与分析实验步骤：2）信息平台网易163网站使用和分析 (2)网易163网站功能分析 第三个板块为分类新闻。根据类别显示相应的热点新闻。此版块使用相同模板，管理员可以随时增添新类别文章。第四个板块为友情链接和响应的资格认证，在中国域名需要ICP备案，信息网站需要互联网新闻信息服务许可证等资格证明。新闻详情页面如图1-2-10所示，左侧为新闻具体内容，右侧为相关推荐。当前主流新闻网站多采用此布局。网络空间安全技术实践教程181.2网站系

13、统使用与分析网站系统使用与分析实验步骤：2）信息平台网易163网站使用和分析 (2)网易163网站功能分析 网易公司拥有多种业务，海淘、邮箱、网上支付，通过网易163首页顶端导航栏可以快速使用，如图所示。网络空间安全技术实践教程191.2网站系统使用与分析网站系统使用与分析实验步骤：2）信息平台网易163网站使用和分析 (3)网易163网站用户分析 网易163网站用户分为2大类：管理员用户、读者用户。管理员用户可细分为技术管理员与媒体管理员。技术管理员负责维护网站软硬件，保障网站的正常运行；媒体管理员负责编辑与发布新闻。读者用户为浏览新闻的用户。用户登陆后可以享用网易全部服务，如通过网易考拉可

14、以实现网上购物功能，网易邮箱可以实现邮箱功能，网易支付可以实现在线支付功能。如此看来，网易首页可以作为用户的功能导航页面。网络空间安全技术实践教程201.2网站系统使用与分析网站系统使用与分析实验步骤：2）信息平台网易163网站使用和分析 (4)网易163网站技术分析 网易首页背景图片部分可动，通过调用chrome浏览器开发者工具（快捷键F12）的 Select an element in the page to inspect it 功能（开发者工具左上角小鼠标图像）选取动态图片部分，如图1-2-11。发现背景由小尺寸的元素组成，元素之间相互独立，互不影响。点击此部分，开发者工具的eleme

15、nts选项会出现对应部分代码，如图1-2-12，标签代表一个class=lantern的空白区域，在css文件中可以定义对应的格式、颜色等。如：lanternmargin-left:-795px，代表class为lantern 的元素，左外边距为-795个像素点。网络空间安全技术实践教程211.2网站系统使用与分析网站系统使用与分析实验步骤：2）信息平台网易163网站使用和分析 (4)网易163网站技术分析 通过浏览器查看页面源代码功能分析技术细节。发现如下代码：!function(i)functionn()functiont()vari=Math.round(+newDate-D)/1e3)

16、;returni0?0:ifunctiona(i)varn=i.className,t=c(i),a=script:1,style:1,link:1,img:1,hr:1,br:1,e=!0;returnat?e=!1:/blankd/.test(n)&(e=!1),efunctione(n)A|(v&window._ntes_sendInfo?(i.each(w,function(i,n)o(i),A=!0):w.push(n),A&o(n)function(i)returni62?z:String.fromCharCode(i+(i36?55:61)functionf(i,n)if(!n)

17、returni;vart=i.length-1,a=i.charCodeAt(t);returna58?a=48:a91?a=55:a123&(a=61),i.substr(0,t)+_(a+n)functionl(i,n,t)n&n.setAttribute(t?_:)+jcid,i)functions(i)if(i)var n=this.getAttribute(href)|;h+;var 网络空间安全技术实践教程221.2网站系统使用与分析网站系统使用与分析实验步骤：2）信息平台网易163网站使用和分析 (4)网易163网站技术分析 标签代表脚本。阅读发现该代码不符合JS脚本语法规则，通

18、过百度JS在线加密混淆工具进行测试，如图1-2-13。通过对比发现语法规则相似，可以确定此段JavaScript代码经过了JS加密混淆。通过加密混淆，可以有效减少JS文件大小，且让恶意攻击者无法读懂JS代码，减少被攻击的可能。网络空间安全技术实践教程231.2网站系统使用与分析网站系统使用与分析实验步骤：2）信息平台网易163网站使用和分析 (4)网易163网站技术分析 网易163首页的登陆功能通过登陆组件实现，不需要跳转到登陆页面，如图1-2-14。开发者工具的network功能可以捕获未经加密的用户名，但捕获不到密码，如图1-2-15。可以确定密码没有通过数据交互的形式传递给后台，有可能是

19、加密后存储进cookie，cookie存储在客户端，后台可以直接读取cookie，从而避免传递过程中的风险。同时，通过网站测试工具，可以发现网易云使用了CDN，如图1-2-16。网络空间安全技术实践教程241.2网站系统使用与分析网站系统使用与分析实验步骤：2）信息平台网易163网站使用和分析 (5)分析与思考 通过使用网易163网站，以及网页源代码的分析，并结合网络信息，请总结分析网易163网站在功能上，技术上的特点。网络空间安全技术实践教程251.2网站系统使用与分析网站系统使用与分析实验步骤：3）视频资源土豆视频网站使用和分析 (1)土豆视频首页页面风格设计 如图1-2-17，土豆视频首

20、页风格简洁明了，视频网站需要突出视频资源，所以推荐视频占据页面大部分，推荐视频按照先热门后分类的原则首先突出热门视频，随后根据分类展示推荐视频。左侧的导航栏可以引导用户打开感兴趣的视频资源，同时提供浏览记录、会员中心、订阅内容等服务。页面随处可见的橙色表现了土豆视频的主题色网络空间安全技术实践教程261.2网站系统使用与分析网站系统使用与分析实验步骤：3）视频资源土豆视频网站使用和分析 (2)土豆视频网站功能分析 首页主要分为三个板块。最上方包括土豆图标，搜索框和上传、登陆按钮用户可以在土豆视频上传自己的视频资源。第二部分为左侧导航栏导航栏包括订阅内容、观看记录、会员尊享、自频道。土豆的推广词

21、是：每个人都是生活的导演。所以对自频道的推广更是不遗余力。第三个板块为视频展示部分，视频在此版块进行播放。视频网站重点是视频的播放，如图1-2-18所示的视频播放页面担此重任。技术手段日新月异，如果在土豆播放页面将网页下拉至看不到视频的位置，页面会自动出现小窗口播放视频，当页面回到原位置，视频会自动还原，技术改变生活得到了充分体现。网络空间安全技术实践教程271.2网站系统使用与分析网站系统使用与分析实验步骤：3）视频资源土豆视频网站使用和分析 (2)土豆视频网站功能分析 土豆视频与其他视频网站的主要区别：用户可以上传视频文件，甚至创建自媒体频道，如图1-2-19。这也是土豆视频的亮点所在。网

22、络空间安全技术实践教程281.2网站系统使用与分析网站系统使用与分析实验步骤：3）视频资源土豆视频网站使用和分析 (3)土豆视频网站用户分析 土豆视频网站用户分为2大类：管理员用户、普通用户。管理员用户主要分为系统平台管理员、运营管理员、视频资源管理员等。系统平台管理员负责维护网站软硬件，保障网站的正常运行；运营管理员负责视频的推广，上下架等。视频资源管理员负责视频资源的保存与分发，庞大的视频资源和访问量需要专业的团队负责维护。网络空间安全技术实践教程291.2网站系统使用与分析网站系统使用与分析实验步骤：3）视频资源土豆视频网站使用和分析 (3)土豆视频网站用户分析 普通用户拥有播放视频和上

23、传视频的功能。播放视频不需要用户登陆，但登陆之后可以拥有更加丰富的功能，如订阅频道，观看记录，付费成为会员之后可以观看独家视频。如图1-2-20。土豆视频可以使用土豆或优酷账号登陆，也可以使用微信、微博等第三方平台账号利用oauth认证进行登陆，如图1-2-21。上传视频需要登陆，但上传个数和大小有严格限制。网络空间安全技术实践教程301.2网站系统使用与分析网站系统使用与分析实验步骤：3）视频资源土豆视频网站使用和分析 (4)土豆视频网站技术分析 观察网站源代码，发现含有JSON字符串的代码片段，如图1-2-22，通过chrome浏览器开发者工具network选项捕获到数据包同样获取到JSO

24、N格式数据如图1-2-23。JSON(JavaScript Object Notation)是一种轻量级数据交换格式，以键值对的形式传输数据，是网站前后端交互的常用格式。网络空间安全技术实践教程311.2网站系统使用与分析网站系统使用与分析实验步骤：3）视频资源土豆视频网站使用和分析 (4)土豆视频网站技术分析 网页是如何播放视频的呢？通过调用chrome浏览器开发者工具（快捷键F12）的 Select an element in the page to inspect it 功能（开发者工具左上角小鼠标图像），选取页面中视频播放区域，如图1-2-24。网络空间安全技术实践教程321.2网站系

25、统使用与分析网站系统使用与分析实验步骤：3）视频资源土豆视频网站使用和分析 (4)土豆视频网站技术分析 得到对应部分代码，“”object 标签功能为向HTML页面添加多媒体，其中data 属性为对象数据的URL，type属性为data 属性中指定的文件中出现的数据的 MIME 类型。网络空间安全技术实践教程331.2网站系统使用与分析网站系统使用与分析实验步骤：3）视频资源土豆视频网站使用和分析 (4)土豆视频网站技术分析 在线播放视频不需要等待视频全部加载，可以边下边看，这是如何实现的呢？通过chrome浏览器网页开发者工具（快捷键F12）可以发现视频被分解成视频流分段传输。网络空间安全技

26、术实践教程341.2网站系统使用与分析网站系统使用与分析实验步骤：3）视频资源土豆视频网站使用和分析 (5)分析与思考 通过使用土豆视频网站，以及网页源代码的分析，并结合网络信息，请分析总结土豆视频网站的视频播放技术。网络空间安全技术实践教程351.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (1)天涯论坛首页风格设计 如图1-2-26，作为论坛网站，整体以文字标题为主，主题颜色为蓝色，冷色调的搭配可以使用户在长时间阅读文字时减少疲惫感。单一的论坛模式已经无法满足人们丰富的生活娱乐需求，所以天涯开启了聚焦、部落、博客等其他板块，通过页面最上方的导航栏可以进入相应

27、板块；页面左侧为论坛导航，可以进入相应模块的论坛；页面中央部分为热帖模块，最新最热的帖子通过此处展出，吸引用户进入。网络空间安全技术实践教程361.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (2)天涯论坛功能分析 如图1-2-27，天涯论坛帖子页面主要分为两个板块，首页上方的导航栏提供了与论坛首页相同的分类导航功能；第二个板块为帖子主题描述及下方的他人或发帖者回帖；论坛的功能是为人们提供一个交流的平台，所以帖子内容是重点，摆在页面中央部分，没有多余的修饰，更好的突出帖子本身。同时论坛是商业网站，需要盈利，在帖子描述部分下方插入一长方形的广告区域用于盈利。网络空

28、间安全技术实践教程371.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (2)天涯论坛功能分析 如图1-2-28，天涯聚焦模块类似新闻网站，页面有对热点，民生、娱乐、时尚、汽车等新闻的点评。点击进入具体文章后，会跳转到帖子页面，文章作者为个人用户，这与新闻网站不同，新闻网站的作者均为网站工作人员，需要对所描述的内容负责，但论坛用户在缺少网络监管的情况下可以发表不负责任的言论，如果没有被网站管理员及时撤销，可能会造成严重后果。网络空间安全技术实践教程381.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (2)天涯论坛功能分析 如图1-2

29、-29，天涯部落模块。部落与社区的含义相类似，由对同一类事物感兴趣的人们自发组成，选举出酋长（代表人物）对部落进行维护以及对外发言等。网络空间安全技术实践教程391.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (2)天涯论坛功能分析 如图1-2-30，天涯博客模块，此处博客为个人博客，是微博的雏形。个人博客可以由个人对页面及功能进行开发，但无法将多人的博客内容统一展示在一个页面内，于是微博借此机会大放异彩。同时也由于微博的兴起，个人博客的数量急剧减少，微博的形式更受人们喜爱。网络空间安全技术实践教程401.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛

30、天涯网站使用和分析 (3)天涯论坛用户分析 天涯论坛用户分为2大类：管理员用户和普通用户。管理员用户可以分为系统平台管理员、运营管理员。系统平台管理员负责维护网站软硬件，保障网站的正常运行；运营管理员负责新闻内容的编辑与发布，下架不合规则的内容等功能。普通用户登录后可进入如图1-2-31所示个人中心页面；登录之后可以发布问题、回答问题、打赏其他用户等。用户需要认证手机号才可发布信息。网络空间安全技术实践教程411.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (3)天涯论坛用户分析 发帖页面如图1-2-32所示，用户可以插入图片、音乐、表情，还可以发起投票。网络空

31、间安全技术实践教程421.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (3)天涯论坛用户分析 如图1-2-33，可以打赏其他用户打赏金额为0.8元到20000元不等，不同的礼物代表不同金额，但需要使用天涯网站系统的网络虚拟金币贝（1贝=1元），为了方便支付，用户可以选择微信或支付宝支付，通过此方式打赏，网站会自动完成充值虚拟货币并打赏两步，简化了用户操作。网络空间安全技术实践教程431.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (4)天涯论坛技术分析 如图1-2-34所示，通过使用网站访问速度测试工具（如站长工具、齐云测）进行测

32、试，发现在全国各省访问天涯论坛的目标IP均为海南省海口市，由此可以确定天涯论坛未使用CDN服务。网络空间安全技术实践教程441.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (4)天涯论坛技术分析 通过对论坛帖子页面的URL进行观http:/ shtml是一种用于SSI（Server Side Include）技术的文件，文件中包含服务器需要执行的命令，是动态编程语言，页面内容动态生成；而html文件是静态文件，编写后不会有任何变化。可以将shtml理解为一种类似JSP,PHP的后台语言。网络空间安全技术实践教程451.2网站系统使用与分析网站系统使用与分析实验步

33、骤：4）论坛天涯网站使用和分析 (4)天涯论坛技术分析 通过网页开发者工具的 console选项，发现网站代码存在报错，如图1-2-35。网络空间安全技术实践教程461.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (4)天涯论坛技术分析 点击文件链接，发现报错内容如图1-2-36，提示为语法错误，额外的标记 ，引起该错误的原因是 标签未闭合，或中英文输入法有误。网络空间安全技术实践教程471.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (4)天涯论坛技术分析 Console即开发者工具控制台，有一条输出记录 yigao info.

34、js20140717 loaded:),点击链接发现如下图所示代码。Console.debug()是JavaScript 代码，作用是输出调试信息。但在正式上线环境中，不应该出现此类代码。网络空间安全技术实践教程481.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (4)天涯论坛技术分析 如图1-2-38，为发帖页面的插入图片功能，该功能利用JS向服务器上传图片。利用chrome浏览器开发者工具（快捷键F12）的network功能抓取JS文件，通过浏览文件内容及文件名可以确定TY.ui.photoShang.js为处理图片上传的JS文件。网络空间安全技术实践教程4

35、91.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (4)天涯论坛技术分析 测试发帖功能，通过开发者工具捕获到数据包为明文传输，如图1-2-40。网络空间安全技术实践教程501.2网站系统使用与分析网站系统使用与分析实验步骤：4）论坛天涯网站使用和分析 (5)分析与思考 通过使用天涯论坛网站，以及网页源代码的分析，并结合网络信息，请分析总结天涯论坛网站在功能上，技术上的特点。网络空间安全技术实践教程511.2网站系统使用与分析网站系统使用与分析实验步骤：5）大学斯坦福官网使用和分析 (1)斯坦福大学首页页面风格设计 如图1-2-41，斯坦福大学官网遵循扁平化设计风

36、格，去复杂的装饰效果，使信息本身作为核心被展示出来。作为校园官网，主要目的是向外界展示学校，所以网站主要以图片，文字的展示为主，并提供教职工和学生的数字校园功能，不包含其他的交互功能。网络空间安全技术实践教程521.2网站系统使用与分析网站系统使用与分析实验步骤：5）大学斯坦福官网使用和分析 (2)斯坦福大学网站功能分析 网站首页主要目的向外界展示学校特色、优势、荣誉等内容，主要分为四个板块，首页上方的导航栏提供更加具体的功能页面链接；第二个板块为图片形式的重大事件链接；第三个板块为图文形式的热门新闻连接；第四个板块为联系学校的方式，facebook、twitter 等以及 其他友情链接。国外

37、网站和国内网站非常明显的区别在于国外网站不需备案，网站下方显示没有ICP备案号等信息。网络空间安全技术实践教程531.2网站系统使用与分析网站系统使用与分析实验步骤：5）大学斯坦福官网使用和分析 (3)斯坦福大学网站用户分析 斯坦福大学官网用户主要为3大类：管理员用户、教职工用户、学生用户 管理员用户分为系统平台管理员、运营管理员。系统平台管理员负责维护网站软硬件，保障网站的正常运行；运营管理员负责校园新闻的编辑与发布。教职工用户为学校教职工人员，进入对应连接后如图1-2-42，可以选择相应服务，包括教师资源、员工资源、图书馆资源、健康与健身、订餐等。学生用户为斯坦福在读学生，进入对应连接后，

38、可以享受一般学术/本科学术/研究生学术资源，校园生活、社区中心等服务。网络空间安全技术实践教程541.2网站系统使用与分析网站系统使用与分析实验步骤：5）大学斯坦福官网使用和分析 (4)斯坦福大学网站技术分析 通过对查看页面源代码对斯坦福官网源码进行分析，发现斯坦福大学网站的代码非常规范，CSS、js文件集中引用，如图1-2-43。不像商业网站，代码由多人甚至多组共同开发，代码混乱。以此说明在开发过程中有严格的文档和开发流程非常重要。网络空间安全技术实践教程551.2网站系统使用与分析网站系统使用与分析实验步骤：5）大学斯坦福官网使用和分析 (4)斯坦福大学网站技术分析 斯坦福网站拥有自适应功

39、能，及根据用户浏览器尺寸自动排版页面。如图1-2-44。网络空间安全技术实践教程561.2网站系统使用与分析网站系统使用与分析实验步骤：5）大学斯坦福官网使用和分析 (4)斯坦福大学网站技术分析 页面自适应需要在html 头部添加 。并且使用流动布局方式，各个区块的位置都是浮动的，不是固定不变的，如果页面宽度发生改变，一行中无法展示两个元素，则后面的元素会自动滚动到下一行，不会再水平方向溢出。同时在CSS文件中引入屏幕宽度探测模块，该模块可以使CSS根据不同的屏幕宽度应用不同的CSS规则。除此之外，为了实现页面的自适应还需要图片能够自动缩放。网络空间安全技术实践教程571.2网站系统使用与分析

40、网站系统使用与分析实验步骤：5）大学斯坦福官网使用和分析 (4)斯坦福大学网站技术分析 在网站首页可以发现斯坦福大学首页右上角有一个搜索框，搜索框前方有web和people两个选项，可供使用者选择搜索页面或人。后台是如何区分要搜索的内容呢？可以使用开发者工具进行分析。首先使用web选项进行搜索，捕获数据包如图1-2-45。仅有一个参数 q为搜索内容，网站使用明文传输，提交页面为 www.stanford.edu/search/。网络空间安全技术实践教程581.2网站系统使用与分析网站系统使用与分析实验步骤：5）大学斯坦福官网使用和分析 (4)斯坦福大学网站技术分析 如图1-2-46，使用peo

41、ple选项进行搜索，含有两个参数 search 为搜索内容，参数submit=Search 为固定参数，代表使用people选项搜索，提交页面为stanfordwho.stanford.edu/lookup。网络空间安全技术实践教程591.2网站系统使用与分析网站系统使用与分析实验步骤：5）大学斯坦福官网使用和分析 (4)斯坦福大学网站技术分析 可以发现web和people 选项对应不同的提交页面，且参数名称不相同，通过对源码进行分析，发现form标签中不含有action参数。可以确定该网站通过JS对数据进行处理之后才进行提交，但由于JS进行了混淆压缩，无法阅读。可见对JS进行混淆压缩有利于提

42、高网站的安全性，减少被攻击的可能。网络空间安全技术实践教程601.2网站系统使用与分析网站系统使用与分析实验步骤：5）大学斯坦福官网使用和分析 (5)分析与思考通过使用斯坦福大学网站，以及网页源代码的分析，并结合网络信息，请分析总结斯坦福大学网站在功能上，技术上的特点。网络空间安全技术实践教程611.2网站系统使用与分析网站系统使用与分析实验结果要求本次实验要求使用上述5大类网站系统（电商、信息平台、视频、论坛、大学），至少选择2个不同本节实验教程给出的网站（但必须满足一种类型一个网站），进行操作和分析，从而对网站有更加系统的初步认识。网络空间安全技术实践教程621.2网站系统使用与分析网站系统使用与分析实验报告要求实验报告要求有封面，实验目的，实验环境，实验结果及分析；其中实验结果主要描述你使用网站系统包含的功能（参看本节实验教程的格式），得出的结论。实验分析主要是分析比对各类网站系统，并用表格形式总结归纳各类网站系统的功能，技术特别是安全技术等。网络空间安全技术实践教程631.2网站系统使用与分析网站系统使用与分析实验扩展要求选择本节实验教程中5大类网站系统使用和分析中的“（5）分析与思考”部分的1-5个来进行分析并回答，作为实验报告的一部分上交。网络空间安全技术实践教程641.2网站系统使用与分析网站系统使用与分析实验视频：网络空间安全技术实践教程65