Web的攻击与防御

第七章WEB攻击与防御

1目录Web平安的兴起Web平安风险的表现为什么会产什么web平安风险常见的web平安攻击技术web平安防御技术2Web平安的兴起在早期的互联网中，web并非主流的互联网应用，相对来说，基于SMTP、POP3、FTP、IRC等协议的用户拥有绝大多数用户，因此黑客们攻击的主要目标是网络、操作系统以及软件等领域，web平安领域的攻击预防与技术均处于非常原始的阶段。随着时代的开展，运营商和防火墙对网络的封锁使得暴漏在网络上的非web效劳越来越少，且web技术的成熟使得web应用的功能越来越强大，最终成为互联网的主流，而黑客的目光也逐渐转移到web上，随之而来的就是web平安的问题。3Web平安的兴起在web1.0时代，人们更多的是关注效劳器端动态脚本的平安问题，比方将一个可执行脚本上传到效劳器上，从而获得权限4Web平安的兴起伴随着，web2.0的兴起，XSS、CSRF〔跨站点请求伪造〕等攻击已经变得更为强大，web攻击的思路也从效劳器端转向了客户端，转向了浏览器和用户。“魔高一尺道高一丈”，互联网开展到今天对web平安的要求也是越来越高，越来越复杂。5Web平安的兴起SQL注入的出现是web平安史上的一个重要里程碑，黑客们发现通过SQL注入攻击，可以获取更多的重要敏感数据，甚至能够通过数据库获取系统访问权限，这种效果并不比直接攻击系统软件差。XSS〔跨站脚本攻击〕的出现那么是web平安史上的另外一个里程碑，实际上XSS出现时和SQL注入差不多，真正引起人们重视那么是在03年以后，在经历了MySpace的XSS蠕虫事件后，XSS的重视程度提高了很多。6Web平安的定义

黑客利用网站操作系统的漏洞和Web效劳程序的SQL注入漏洞等得到Web效劳器的控制权限，轻那么篡改网页内容，重那么窃取重要内部数据，更为严重的那么是在网页中植入恶意代码，使得网站访问者受到侵害。7什么是web平安风险呢？8某银行网站篡改9敏感数据泄密泄密10企业敏感信息泄密11“广告联盟”放置“黑链”12钓鱼网站真正的中国工商银行网站假冒的中国工商银行网站w13CSDN泄密门14百度被黑百度被黑背景：5小时无法提供任何互联网效劳漏洞：DNS效劳器被劫持影响：国内最大互联网企业也在劫难逃！15为什么会发生Web平安风险？16Web平安风险分析要保护Web效劳，先要了解Web系统架构，以下图是Web效劳的一般性结构图，适用于互联网上的网站，也适用于企业内网上的Web应用架构：

17Web平安风险分析18Web平安风险分析

用户使用通用的Web浏览器，通过接入网络(网站的接入那么是互联网)连接到Web效劳器上。用户发出请求，效劳器根据请求的URL的地址连接，找到对应的网页文件，发送给用户，两者对话的“官方语言”是Http。网页文件是用文本描述的，HTML/Xml格式，在用户浏览器中有个解释器，把这些文本描述的页面恢复成图文并茂、有声有影的可视页面。19Web平安风险分析通常情况下，用户要访问的页面都存在Web效劳器的某个固定目录下，是一些.html或.xml文件，用户通过页面上的“超连接”(其实就是URL地址)可以在网站页面之间“跳跃”，这就是静态的网页。后来人们觉得这种方式只能单向地给用户展示信息，信息发布还可以，但让用户做一些比方身份认证、投票选举之类的事情就比较麻烦，由此产生了动态网页的概念；所谓动态就是利用flash、Php、asp、Java等技术在网页中嵌入一些可运行的“小程序”，用户浏览器在解释页面时，看到这些小程序就启动运行它。20Web平安风险分析这些“小程序”可以嵌入在页面中，也可以以文件的形式单独存放在Web效劳器的目录里，如.asp、.php、jsp文件等，并且可以在开发时指定是在用户端运行，还是在效劳器端运行；用户不再能看到这些小程序的源代码，效劳的平安性也大大提高。这样功能性的小程序越来越多，形成常用的工具包，单独管理，Web业务开发时，直接使用就可以了，这就是中间件效劳器，它实际上是Web效劳器处理能力的扩展。21Web平安风险分析

静态网页与“小程序”都是事前设计好的，一般不经常改动，但网站上很多内容需要经常的更新，如新闻、博客文章、互动游戏等，这些变动的数据放在静态的程序中显然不适合，传统的方法是数据与程序别离，采用专业的数据库。Web开发者在Web效劳器后边增加了一个数据库效劳器，这些经常变化的数据存进数据库，可以随时更新。22Web平安风险分析

除了应用数据需要变化，用户的一些状态信息、属性信息也需要临时记录：◆Cookie：把一些用户的参数，如帐户名、口令等信息存放在客户端的硬盘临时文件中，用户再次访问这个网站时，参数也一同送给效劳器，效劳器就知道你就是上次来的那个“家伙”了

◆Session：把用户的一些参数信息存在效劳器的内存中，或写在效劳器的硬盘文件中，用户是不可见的，这样用户用不同电脑访问时的贵宾待遇就同样了，Web效劳器总能记住你的“样子”，一般情况下，Cookie与Session可以结合使用Cookie在用户端，一般采用加密方式存放就可以了；Session在效劳器端，信息集中，被篡改问题将很严重，所以一般放在内存里管理，尽量不存放在硬盘上。23Web平安风险分析

Web效劳器上有两种效劳用数据要保证“清白”，一是页面文件(.html、.xml等)，这里包括动态程序文件(.php、.asp、.jsp等)，一般存在Web效劳器的特定目录中，或是中间件效劳器上；二是后台的数据库，如Oracle、SQLServer等，其中存放的数据的动态网页生成时需要的，也有业务管理数据、经营数据。24序号内容说明1跨站脚本漏洞Web应用程序直接将来自使用者的执行请求送回浏览器执行，使得攻击者可获取使用者的Cookie或Session信息而直接以使用者身份登陆2注入类问题Web应用程序执行在将用户输入变为命令或查询语句的一部分时没有做过滤，SQL注入,命令注入等攻击包括在内3任意文件执行Web应用程序引入来自外部的恶意文件并执行4不安全的对象直接引用攻击者利用Web应用程序本身的文件操作功能读取系统上任意文件或重要资料5跨站请求截断攻击已登入Web应用程序的合法使用者执行恶意的HTTP指令，但Web应用程式却当成合法需求处理，使得恶意指令被正常执行6信息泄露Web应用程序的执行错误信息中包含敏感资料，可能包括系统文件路径，内部IP地址等7用户验证和Session管理缺陷Web应用程序中自行撰写的身份验证相关功能有缺陷8不安全的加密存储Web应用程序没有对敏感性资料使用加密、使用较弱的加密演算法或将密钥储存于容易被获取之处9不安全的通信Web应用经常在需要传输敏感信息时没有使用加密协议10没有对URL路径进行限制某些网页因为没有权限控制，使得攻击者可透过网址直接存取WEB面临的平安威胁TOP1025SQL注入〔SQLinjection〕跨站脚本攻击恶意代码弱点和错误配置隐藏字段后门和调试漏洞参数篡改更改cookie输入信息控制缓冲区溢出十大常见的WEB应用攻击

26什么是SQL？结构化查询语言(StructuredQueryLanguage)简称SQL，结构化查询语言是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统。结构化查询语言是高级的非过程化编程语言，允许用户在高层数据结构上工作。它不要求用户指定对数据的存放方法，也不需要用户了解具体的数据存放方式，所以具有完全不同底层结构的不同数据库系统,可以使用相同的结构化查询语言作为数据输入与管理的接口。27SQL功能1.数据查询2.数据操作：插入、修改、删除表中的行3.事务处理：传输、提交、恢复修改的数据等4.数据控制：控制对数据库对象的访问5.数据定义：数据库中创立、删除表、为表加索引6.指针控制：用于对一个或多个表单操作28SQL注入技术概述就攻击技术本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用程序中插入一些SQL语句时，SQLInjection攻击就发生了。实际上，SQLInjection攻击是存在于常见的多连接的应用程序中的一种漏洞，攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询,篡改和命令执行。就风险而言，SQLInjection攻击也是位居前列，和缓冲区溢出漏洞相比，其优势在于能够轻易的绕过防火墙直接访问数据库，甚至能够获得数据库所在的服务器的系统权限。在Web应用漏洞中，SQLInjection漏洞的风险要高过其他所有的漏洞。安全风险29攻击特点攻击的广泛性：由于其利用的是SQL语法,使得攻击普遍存在；攻击代码的多样性：由于各种数据库软件及应用程序有其自身的特点，实际的攻击代码可能不尽相同；影响范围数据库：MS-SqlServer、Oracle、Mysql、DB2、Informix等所有基于SQL语言标准的数据库软件；应用程序：ASP、PHP，JSP、CGI、CFM等所有应用程序；30SQL注入攻击实例通过Web页面查询job表中的招聘信息，job表的设计如下：31SQL注入攻击实例Web程序实现：protectedvoidPage_Load(objectsender,EventArgse){if(!IsPostBack){//GetsdepartmentIdfromrequest.stringqueryString=Request.QueryString["departmentID"];if(!string.IsNullOrEmpty(queryString)){//Getsdatafromdatabase.gdvData.DataSource=GetData(queryString.Trim());//Bindsdatatogridview.gdvData.DataBind();}}}32SQL注入攻击实例查询第一项记录代码SELECTjob_id,job_desc,min_lvl,max_lvlFROMjobsWHERE(job_id=1)33SQL注入攻击实例现在要求我们获取Department表中的所有数据，而且必须保存WHERE语句，那么只要确保WHERE恒真就OK了，SQL示意代码如下：SELECTjob_id,job_desc,min_lvl,max_lvlFROMjobsWHERE(job_id=1)OR1=1上面等同于SELECTjob_id,job_desc,min_lvl,max_lvlFROMjobs34SQL注入攻击实例猜测表单名是不是JobSELECTjob_id,job_desc,min_lvl,max_lvlFROMjobsWHEREjob_id='1'or1=(selectcount(*)fromjob)--'35猜测失败，首先它证明了该表名不是job，而且它还告诉我们后台数据库是SQLServer，不是MySQL或Oracle，这也设计一个漏洞把错误信息直接返回给了用户跨站脚本-介绍跨站脚本漏洞产生原理由于WEB应用程序没有对用户的输入和输出进行严格的过滤和转换，就导致在返回页面中可能嵌入恶意代码。什么是跨站脚本攻击XSS又叫CSS

(CrossSiteScript)，跨站脚本攻击。它指的是恶意攻击者往WEB页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而到达恶意用户的特殊目的。跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现，因此这种攻击能在一定程度上隐藏身份。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常呼略其危害性。36跨站脚本攻击传播途径EMAILIM聊天室留言板论坛交互性平台37跨站攻击的危害窃取Cookie劫持帐户执行ActiveX执行Flash内容强迫您下载软件对硬盘和数据采取操作……38跨站脚本-介绍现在让我们通过具体的例子来看看XSS攻击是如何发生的，假设现在有一个招聘网站，它提供在该网站已注册的用户发布招聘信息和发送招聘信息到注册用户的功能。通过该网站的发布招聘信息功能，我们把招聘信息发送到该网站的效劳器中，然后效劳器会把信息发送到注册用户中，这样我们就实现了发布信息的目的了，然而当一些不怀好意好意的用户他们很可能利用该网站存在的漏洞对用户进行攻击。不怀好意的用户会把恶意代码，如：JavaScript,VBScript,ActiveX,HTML或Flash等，把它们嵌入到发布的信息中去，然后发送到效劳器中，如果效劳器没有很好的校验信息，直接把信息转发到用户，这将导致一场XSS攻击灾难。39跨站点请求伪造〔CSFR〕跨站点请求伪造〔CSFR〕CSRF，全称Cross-siterequestforgery，中文翻译成跨站请求伪造。利用这个漏洞，攻击者假冒正常的用户，以用户的名义发送恶意请求。这些请求可能是发送邮件，发帖留言，盗账号，电子商城购置物品，甚至网银转账等一系列操作。40Web平安风险分析41点击劫持点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户恰好点击在iframe页面的一些功能性按钮上。2008年，平安专家RobertHansen与JeremiahGrossman发现了一种被他们称为“ClickJacking”〔点击劫持〕的攻击，两位发现者准备在当年的OWASP平安大会上公布并进行演示，但包括Adobe在内的所有厂商，都要求在漏洞修补前不要公开此问题。42WEB木马病毒-利用漏洞类型浏览器本身缺陷第三方ActiveX控件漏洞文件格式漏洞43WEB木马病毒-盗号木马和网页木马盗号木马在传统的远程控制木马根底上开展出的以窃取敏感信息为目标的专用木马。QQ盗号木马:数十款，流行网游:均发现相应的盗号木马免杀机制：继承可执行程序加壳/变形等技术方法网页木马本质上并非木马，而是Web方式的渗透攻击代码一般以JavaScript,VBScript等脚本语言实现免杀机制通过大小写变换、十六进制编码、unicode编码、base64编码、escape编码等方法对网页木马进行编码混淆通过通用〔screnc等〕或定制的加密工具〔xxtea等〕对网页木马进行加密修改网页木马文件掩码、混淆文件结构、分割至多个文件等44WEB木马病毒-ARP欺骗木马ARP欺骗挂马:危害度更高的挂马网络构建策略 并不需要真正攻陷目标网站：知名网站通常防护严密ARP欺骗：对同一以太网网段中，通过ARP欺骗方法进行中间人攻击， 可劫持指定网络流量并进行任意修改ARP欺骗挂马:在Web请求反响页面中插入iframe等重定向链接代码，从 而使得目标网站被“虚拟”挂马效劳器端ARP欺骗挂马 在目标网站同一以太网中获得访问入口 进行ARP欺骗挂马 目标网站虽未被攻陷，但所有网站访问者遭受网页木马的威胁 案例：07年10月份Nod32中国官方网站网站等45分布式拒绝攻击(DDOS)-介绍分布式拒绝效劳攻击使用与普通的拒绝效劳攻击同样的方法，但是发起攻击的源是多个。通常，攻击者使用下载的工具渗透无保护的主机，当获得该主机的适当的访问权限后，攻击者在主机中安装软件的效劳或进程〔以下简称代理〕。这些代理保持睡眠状态，直到从它们的主控端得到指令。主控端命令代理对指定的目标发起拒绝效劳攻击。分布式拒绝效劳攻击是指主控端理由僵尸机器同时对一个目标发起几千个攻击。单个的拒绝效劳攻击的威力也许对带宽较宽的站点没有影响，而分布于全球的几千个攻击将会产生致命的效果。

46分布式拒绝攻击-攻击步骤一ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet47分布式拒绝攻击-攻击步骤二Hacker被控制的计算机(代理端)黑客设法入侵有平安漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet48分布式拒绝攻击-攻击步骤三Hacker

黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机〔代理端〕MasterServerInternet49分布式拒绝攻击-攻击步骤四HackerUsingClientprogram,

黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机〔代理端〕TargetedSystemMasterServerInternet50分布式拒绝攻击-攻击步骤五InternetHacker

主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerTargetedSystem被控制计算机〔代理端〕51分布式拒绝攻击-攻击步骤六TargetedSystemHacker

目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDeniedInternet被控制计算机〔代理端〕52Web平安技术一、效劳器端平安技术效劳器端平安最根本的是接入网入口的平安网关UTM，其中IPS功能与防DDOS功能是Web效劳器系统级入侵的直接防护，但UTM是通用的边界平安网关，非“专业的”Web入侵防护，一般作为平安的入门级防护。网页防篡改技术的根本原理：是对Web效劳器上的页面文件(目录下文件)进行监控，发现有更改及时恢复。所以该产品实际是一个“修补”的工具，不能阻止攻击者的篡改，就来个守株待兔，专人看守，减少损失是目标，防篡改属于典型的被动防护技术。网页防篡改产品的部署：建立一台单独的管理效劳器，然后在每台Web效劳器上安装一个Agent程序，负责该效劳器的“网页文件看护”，管理效劳器是管理这些Agent看护策略的。网页防篡改对保护静态页面有很好的效果53Web平安技术54Web平安技术a)第一代技术，把Web效劳器主目录下的文件做一个备份，用一个定时循环进程，把备份的文件与效劳使用的文件逐个进行比较，不一样的就用备份去覆盖。网站更新发布时，那么同时更新主目录与备份。这种方法在网站大的情况下，网页数量巨大，扫描一遍的时间太长，并且对Web效劳器性能也是挤占。b)第二代技术，采用了Hash算法，对主目录下的每个文件做Hash，生成该文件的“指纹”，定时循环进程直接计算效劳用文件的Hash指纹，然后进行指纹核对，指纹一般比较小，比较方便；指纹具有不可逆的特点，不怕仿制。55Web平安技术c)第三代技术，既然网站上页面太多，三级以下页面的访问量，一般使用呈指数级下降，没人访问当然也不会被篡改，在这些页面重复扫描是不划算的。改变一下思路：对文件读取应该没有危险，危险的是对文件的改写操作。假设只对文件被改变时才做检查，就可以大大降低对效劳器资源的占用；具体做法是：开启一个看守进程，对Web效劳器的主目录文件删改操作进行监控，发现有此操作，判断是否有合法身份，是否为授权的维护操作，否那么阻断其执行，文件不被改写，也就起到了网页防篡改的目的。这个技术也称为事件触发防篡改。这种技术需要考验对效劳器操作系统的熟悉程度，但黑客也是高手，你的看护进程是用户级的，黑客可以获得高级权限，绕过你的“消息钩子”，监控就成了摆设。56Web平安技术d)第四代技术，既然是比谁的进程权限高，让操作系统干这个活儿，应该是最适宜的，黑客再牛也不可能越过操作系统自己“干活”。因此，在Windows系统中，提供系统级的目录文件修改看护进程(系统调用)，防篡改产品直接调用就可以了，或者利用操作系统自身的文件平安保护功能，对主目录文件进行锁定(Windows对自己系统的重要文件也采取了类似的防篡改保护，防止病毒的侵扰)，只允许网站发布系统(网页升级更新)才可以修改文件，其他系统进程也不允许删改。网页防篡改系统可以用于Web效劳器，也可以用于中间件效劳器，其目的都是保障网页文件的完整性。57Web平安技术web防火墙防止网页被篡改是被动的，能阻断入侵行为才是主动型的，Web防火墙，主要是对Web特有入侵方式的加强防护，如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵，从技术角度都应该称为WebIPS，而不是Web防火墙。这里之所以叫做Web防火墙，是因为大家比较好理解，业界流行的称呼而已。由于重点是防SQL注入，也有人称为SQL防火墙。58Web平安技术59Web平安技术

Web防火墙的主要技术的对入侵的检测能力，尤其是对Web效劳入侵的检测，主要有以下几种方式：◆代理效劳：代理方式本身就是一种平安网关，基于会话的双向代理，中断了用户与效劳器的直接连接，适用于各种加密协议，这也是Web的Cache应用中最常用的技术。代理方式防止了入侵者的直接进入，对DDOS攻击可以抑制，对非预料的“特别”行为也有所抑制。Netcontinuum(梭子鱼)公司的WAF就是这种技术的代表。

60Web平安技术

◆特征识别：识别出入侵者是防护的前提。特征就是攻击者的“指纹”，如缓冲区溢出时的Shellcode，SQL注入中常见的“真表达(1=1)”…应用信息没有“标准”，但每个软件、行为都有自己的特有属性，病毒与蠕虫的识别就采用此方式，麻烦的就是每种攻击都自己的特征，数量比较庞大，多了也容易相象，误报的可能性也大。虽然目前恶意代码的特征指数型地增长，平安界声言要淘汰此项技术，但目前应用层的识别还没有特别好的方式。

61Web平安技术◆算法识别：特征识别有缺点，人们在寻求新的方式。对攻击类型进行归类，相同类的特征进行模式化，不再是单个特征的比较，算法识别有些类似模式识别，但对攻击方式依赖性很强，如SQL注入、DDOS、XSS等都开发了相应的识别算法。算法识别是进行语义理解，而不是靠“长相”识别。

◆模式匹配：是IDS中“古老”的技术，把攻击行为归纳成一定模式，匹配后能确定是入侵行为，当然模式的定义有很深的学问，各厂家都隐秘为“专利”。协议模式是其中简单的，是按标准协议的规程来定义模式；行为模式就复杂一些，62Web平安技术Imperva公司的WAF产品在提供入侵防护的同时，还提供了另外一个平安防护技术，就是对Web应用网页的自动学习功能，由于不同的网站不可能一样，所以网站自身页面的特性没有方法提前定义，所以imperva采用设备自动预学习方式，从而总结出本网站的页面的特点。63Web平安技术通过一段时间的用户访问，WAF记录了常用网页的访问模式，如一个网页中有几个输入点，输入的是什么类型的内容，通常情况的长度是多少…学习完毕后，定义出一个网页的正常使用模式，当今后有用户突破了这个模式，如一般的帐号输入不应该有特殊字符，而XML注入时需要有“<”之类的语言标记，WAF就会根据你预先定义的方式预警或阻断；再如密码长度一般不超过20位，在SQL注入时参加代码会很长，同样突破了网页访问的模式。网页自学习技术，从Web效劳自身的业务特定角度入手，不符合我的常规就是异常的，也是入侵检测技术的一种，比起单纯的Web防火墙来，不仅给入侵者“下通缉令”，而且建立进入自家的内部“规矩”，这一种双向的控制，显然比单向的要好。从平安角度来说，网页自学习技术与入侵防护结合使用，是理想的选择。64Web平安技术Web数据库审计有效恢复是平安保障的一个很重要的理念。动态网页的防护难点是用数据库现场生成的，因此对数据库的修改就变得很关键，Web数据库审计产品的目的就是对数据的所有操作进行记录，当发现问题时，这些操作可以回溯。打个比方，你在游戏中的装备被别人给“划走”了，过了一周，你发现了，但一周中，游戏在继续，你的装备有很多新动态，合理与不合理变化交织在一起。此时，假设管理人员知道确定是“某人”的篡改，就可以把他的动作进行“逆向”操作，你的游戏仍可以继续，不受影响；假设通过协商，需要恢复到篡改前的某个状态，那么在数据库中先取得篡改前最近一次的备份数据，再使用数据库的审计记录，一直“操作”到篡改前的状态，游戏就可以继续了。这种技术与数据库的实时同步备份技术是类似的。65Web平安技术当然数据库的操作量很大，全部记录需要很大的数据空间，所以，Web效劳中重要数据库操作才进行详细审计，审计的目的是为了运营状态的可恢复。常见的Web审计数据：◆帐户操作：涉及权限的改变◆运营操作：涉及“财与物”的变化◆维护操作：涉及“特殊权限”人的动作66Web平安技术Web木马检查Web平安不仅是维护网站自己平安，通过网站入侵用户电脑的危害也十分棘手。网页容易被挂上木马，或被XSS攻击利用，是否有工具可以对所有的网页进行平安检查呢？这里用到了“爬虫”技术。67Web平安技术68Web平安技术“爬虫”技术最早是搜索引擎“创造”的，搜索网站放出N个小“爬虫”，在世界各地的网站上循环扫描，收集网站上的新信息，建立供世界人民查找的数据库，这样大家就可以从Google、百度等搜索门户上搜到你想要的任何东东。由于“爬虫”来自网站外部，所以可以模拟用户翻开网站的实际效果，所以“爬虫”很快被网站用来测试自身性能的“用户体验”工具，比方网页翻开的速度，用户互动的等待时间等。所谓“爬虫”就是这样一些进程，按照一定的规那么(横向优先搜索、纵向优先搜索)，将网站上所有的页面翻开一遍，在对网页上关心的事情进行检查。由于是以用户的身份“浏览”网页，所以没有静态与动态页面的差异。69Web平安技术Web木马检查工具就是基于这个原理开发的，不同于搜索爬虫的是，在网页检查时，重点查看网页是否被挂木马，或被XSS利用。因为网站内的URL链接去向应该可追溯的，所以对XSS的检查是很有效的。70Web平安技术二、客户端平安技术1浏览器端的平安同源策略〔SameOriginPolicy〕是一种约定，是浏览器最核心也是最根底的平安功能。

可以说web是构建在同源策略的根底之上的，浏览器只是针对同源策略的一种实现。浏览器的同源策略，限制了来自不同源的document或脚