asp程序设计及应用（第二版）及源代码-张景峰 第11章 web安全新

第 11章 Web安全n 11.1 Web服务器安全 n 11.2 网页木马 n 11.3 SQL注入攻击与防范 n 11.4 跨站脚本攻击2018/8/8 111.1 Web服务器安全n 在 Web服务器安全漏洞可以从两个方面考虑，首先， Web服务器是一个通用的服务器，无论是 Windows，还是 Linux/Unix，都不能避免自身的漏洞，通过这些漏洞入侵，可以获得服务器的高级权限，这样对服务器上运行的 Web服务就可以随意控制。n 其次，除了操作系统的漏洞外，还有 Web服务软件的漏洞，如： IIS等。2018/8/8 211.1 Web服务器安全需要从以下方面做好安全防范措施：n 1及时更新操作系统补丁程序。及时安装系统最新的一些安全补丁程序，特别是要安装一些高危漏洞的补丁程序，很多网页就是利用这些漏洞来执行木马程序。n 2安装并及时更新服务软件，并且进行合理的配置和关掉暂时不用的服务。n 3安装杀毒软件，并及时更新病毒库。及时更新杀毒软件的病毒库可以有效的查杀病毒和木马程序。n 4设置端口保护和防火墙。服务器的端口屏蔽可以通过防火墙来设置，把服务器上要用到的服务器端口选中，例如：对于Web服务器来说，需要提供 Web服务（ 80端口）、 FTP服务（21）端口等，则只需开放对应端口即可。n 5对不必要的服务和不安全的组件同样也需要禁止或删除。 2018/8/8 311.1 Web服务器安全11.1.2 操作系统的安全配置1文件系统的选择n 应该选择 NTFS（ New Technology File System）文件系统2关闭默认共享n 在安装 windows操作系统的时候，会把系统安装分区进行共享，虽然只有具有超级用户权限才能访问，但这是一个潜在的安全隐患。 2018/8/8 411.1 Web服务器安全11.1.2 Web服务器软件 IIS的安全配置1 IIS安装问题n 可以通过将 IIS安装到其他分区的方式，避免入侵者访问系统分区。 2删除危险的 IIS组件n IIS的有些组件可能会造成安全威胁。如Internet服务管理器、 SMTP Service和 NNTP Service、样本页面和脚本， Wscript.Shell和shell.application组件 2018/8/8 511.1 Web服务器安全3 IIS文件分类设置权限n 一般情况下，不能同时对文件夹设置写和执行权限，这样会给入侵者留有向站点上传并执行恶意代码的机会。n 对于 IIS中的文件按照类型进行分类，分别建立目录：n （ 1）将所有静态文件（ HTML）放到一个文件夹，给予允许读取，拒绝写的权限。n （ 2）将所有的脚本文件，如： ASP、 CGI等，给予允许执行，拒绝写和读取的权限。n （ 3）将所有的可执行文件给予允许执行，拒绝读取和写的权限。 2018/8/8 611.1 Web服务器安全4删除不必要的应用程序映射n 默认情况下， IIS中存在很多应用程序映射，如 .asp、 .aspx、 .ascx、 .cs、 .cer等， IIS通过这些映射来调用不同的动态链接库解析相应的文件。5保护日志安全n 日志记录对于服务器至关重要，日志可以记录所有用户的请求。 2018/8/8 711.2 网页木马n 木马又称特洛伊木马，它是具有隐藏性、自发性和可被用来进行恶意攻击行为的程序，是一种通过各种方法直接或间接与远程计算机之间建立链接，从而能够通过网络控制远程计算机的程序。n 木马的传播途径有很多种，比如：通过电子邮件传播、通过 MSN、 QQ等即时通信软件传播、利用网页木马嵌入恶意代码来传播等等。在ASP程序设计开发过程中，主要关心的安全问题就是网页木马的植入。2018/8/8 811.2 网页木马n 网页木马实质上是一个 Web页，利用漏洞获得权限自动下载程序和运行程序。以下是几种常用的挂马方法：1框架挂马n 在网页中插入一个隐藏的框架：n 2 JS文件挂马n 将嵌入网页木马的代码写成一个 JS文件，然后用引入 2018/8/8 911.2 网页木马3 URL伪装挂马n 在网页中加入一个链接的代码为：n 欢迎访问百度 4 body挂马n 挂马者可以利用 body的 onload事件进行加载网页木马，如：n 5 CSS中挂马攻击者可以将网页木马嵌入到 CSS中，来达到隐藏的目的。2018/8/8 1011.3 SQL注入攻击与防范11.3.1 SQL注入攻击简介n SQL注入攻击（ SQL Injection，简称注入攻击）是目前网络攻击的主要手段之一，它是从正常的 Web端口访问，对数据库进行攻击的一种攻击方式。n SQL注入攻击就其本质而言利用的就是 SQL的语法，这就使得攻击具有广泛性。 2018/8/8 1111.3 SQL注入攻击与防范11.3.2 SQL注入攻击特点1广泛性 2技术难度不高3危害性大2018/8/8 1211.3 SQL注入攻击与防范11.3.3 SQL注入攻击实现过程1寻找 SQL注入点 2获取和验证 SQL注入点 3获取信息 4实施控制 2018/8/8 1311.3 SQL注入攻击与防范11.3.4 寻找 SQL注入点n 用以下步骤就可测试出页面是否存在 SQL注入漏洞：1附加一个单引号2附加 and 1=13附加 and 1=2 2018/8/8 1411.3 SQL注入攻击与防范11.3.5 获取信息和实施攻击n 在找到 SQL注入攻击点之后，便可以进行各种有意图的试验，获取相应信息或进行破坏攻击等操作。q 1判断数据库类型q 2猜解表名和字段q 3删除数据库信息 2018/8/8 1511.3 SQL注入攻击与防范11.3.6 SQL注入攻击检测n 用以下方法检测 Web站点是否遭受过 SQL注入攻击。q 1数据库检查q 2 IIS日志检查q 3其它相关信息判断 2018/8/8 1611.3 SQL注入攻击与防范11.3.7 SQL注入攻击的防范 n 防范 SQL注入攻击的方法主要有：q 1对提交数据的合法性进行检查q 2屏蔽出错信息q 3. 使用 SQL变量 q 4. 权限设置 2018/8/8 1711.4 跨站脚本攻击n 跨站脚本攻击（ Cross-Site Scripting，简称XSS）指的是恶意攻击者向 Web页面里插入恶意 html代码，当用户 浏览 该页面时，嵌入其中Web页面的 html代码会被执行，从而达到恶意用户的特殊目的。n XSS攻击的核心思想就是在 html页面中注入恶意代码。在 XSS攻击中，分为攻击者、目标服务器和受害者。2018/8/8 1811.4 跨站脚本攻击11.4.2 XSS攻击的危害n 1盗取各类用户帐户，如机器登录帐户、用户网银帐户、各类管理员帐户。n 2控制服务器数据，包括读取、篡改、添加、删除服务器上的数据。n 3引导钓鱼，利用 XSS的注入脚本，可以很方便地注入钓鱼页面的代码，从而引导钓鱼攻击。n 4注入恶意软件，攻击者可以很方便地在脚本中引入一些恶意软件，比如病毒、木马、蠕虫等等。n 5控制受害者机器向其它网站发起攻击。 2018/8/8 1911.4 跨站脚本攻击11.4.3 XSS攻击分类n 根据 XSS脚本注入方式的不同，将 XSS攻击分为如下三类。1基于 DOM的跨站脚本攻击2反射型跨站脚本攻击3持久型跨站脚本攻击 2018/8/8 2011.4 跨站脚本攻击11.4.4 XSS攻击的防范n XSS攻击是一种隐蔽性很高，危害性很大的网络应用安全漏洞。下面介绍几种常用的 XSS预防措施。1持有一切输入都是有害的，不要信任任何输入的态度，进行严格的输入检测。对用户所有输入数据进行检查，过滤或替换其中的危险字符，比如： “, “:“, “%“等，另外也要考虑到用户可能绕开 ASCII码，使用十六进行编码如 “%3c”（ “”）等来输入脚本。 2018/8/8 2111.4 跨站脚本攻击2替换输出编码。由于 XSS攻击是因为 Web应用程序将用户的输入直接嵌入到某个页面中，作为此页面的一部分进行执行。因此，可以在Web应用程序输出用户数据时，用htmlEncoder等工具先对数据进行编码，然后再输出到目标页面。这样， Web应用程序就会把用户输入的危险字符当成普通字符进行数据，而不会作为 html代码的一部分去执行。 2018/8/8 2211.4 跨站脚本攻击3在一些必须使用 html标签的地方，比如论坛，可以使用其他格式的标识代替，比如BBCode。4对于一些确实需要用户输入特定 html的地方，可以使用正则表达式进行匹配。5严格限制 URL访问。在页面的脚本代码执