asp程序设计及应用（第二版） 电子教案及源代码 张景峰 第11章 web安全

在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网QQ:349134187 或者直接输入下面地址：第 11章 Web安全n 11.1 Web服务器安全 n 11.2 网页木马 n 11.3 SQL注入攻击与防范 n 11.4 跨站脚本攻击11.1 Web服务器安全n 在 Web服务器安全漏洞可以从两个方面考虑，首先， Web服务器是一个通用的服务器，无论是 Windows，还是 Linux/Unix，都不能避免自身的漏洞，通过这些漏洞入侵，可以获得服务器的高级权限，这样对服务器上运行的Web服务就可以随意控制。n 其次，除了操作系统的漏洞外，还有 Web服务软件的漏洞，如： IIS等。11.1 Web服务器安全需要从以下方面做好安全防范措施：n 1及时更新操作系统补丁程序。及时安装系统最新的一些安全补丁程序，特别是要安装一些高危漏洞的补丁程序，很多网页就是利用这些漏洞来执行木马程序。n 2安装并及时更新服务软件，并且进行合理的配置和关掉暂时不用的服务。n 3安装杀毒软件，并及时更新病毒库。及时更新杀毒软件的病毒库可以有效的查杀病毒和木马程序。n 4设置端口保护和防火墙。服务器的端口屏蔽可以通过防火墙来设置，把服务器上要用到的服务器端口选中，例如：对于Web服务器来说，需要提供 Web服务（ 80端口）、 FTP服务（21）端口等，则只需开放对应端口即可。n 5对不必要的服务和不安全的组件同样也需要禁止或删除。 11.1 Web服务器安全11.1.2 操作系统的安全配置1文件系统的选择n 应该选择 NTFS（ New Technology File System）文件系统2关闭默认共享n 在安装 windows操作系统的时候，会把系统安装分区进行共享，虽然只有具有超级用户权限才能访问，但这是一个潜在的安全隐患。 11.1 Web服务器安全11.1.2 Web服务器软件 IIS的安全配置1 IIS安装问题n 可以通过将 IIS安装到其他分区的方式，避免入侵者访问系统分区。 2删除危险的 IIS组件n IIS的有些组件可能会造成安全威胁。如Internet服务管理器、 SMTP Service和 NNTP Service、样本页面和脚本， Wscript.Shell和shell.application组件 11.1 Web服务器安全3 IIS文件分类设置权限n 一般情况下，不能同时对文件夹设置写和执行权限，这样会给入侵者留有向站点上传并执行恶意代码的机会。n 对于 IIS中的文件按照类型进行分类，分别建立目录：n （ 1）将所有静态文件（ HTML）放到一个文件夹，给予允许读取，拒绝写的权限。n （ 2）将所有的脚本文件，如： ASP、 CGI等，给予允许执行，拒绝写和读取的权限。n （ 3）将所有的可执行文件给予允许执行，拒绝读取和写的权限。 11.1 Web服务器安全4删除不必要的应用程序映射n 默认情况下， IIS中存在很多应用程序映射，如 .asp、 .aspx、 .ascx、 .cs、 .cer等， IIS通过这些映射来调用不同的动态链接库解析相应的文件。5保护日志安全n 日志记录对于服务器至关重要，日志可以记录所有用户的请求。 11.2 网页木马n 木马又称特洛伊木马，它是具有隐藏性、自发性和可被用来进行恶意攻击行为的程序，是一种通过各种方法直接或间接与远程计算机之间建立链接，从而能够通过网络控制远程计算机的程序。n 木马的传播途径有很多种，比如：通过电子邮件传播、通过 MSN、 QQ等即时通信软件传播、利用网页木马嵌入恶意代码来传播等等。在ASP程序设计开发过程中，主要关心的安全问题就是网页木马的植入。11.2 网页木马n 网页木马实质上是一个 Web页，利用漏洞获得权限自动下载程序和运行程序。以下是几种常用的挂马方法：1框架挂马n 在网页中插入一个隐藏的框架：n 2 JS文件挂马n 将嵌入网页木马的代码写成一个 JS文件，然后用引入 11.2 网页木马3 URL伪装挂马n 在网页中加入一个链接的代码为：n 欢迎访问百度 4 body挂马n 挂马者可以利用 body的 onload事件进行加载网页木马，如：n 5 CSS中挂马攻击者可以将网页木马嵌入到 CSS中，来达到隐藏的目的。11.3 SQL注入攻击与防范11.3.1 SQL注入攻击简介n SQL注入攻击（ SQL Injection，简称注入攻击）是目前网络攻击的主要手段之一，它是从正常的 Web端口访问，对数据库进行攻击的一种攻击方式。n SQL注入攻击就其本质而言利用的就是 SQL的语法，这就使得攻击具有广泛性。 11.3 SQL注入攻击与防范11.3.2 SQL注入攻击特点1广泛性 2技术难度不高3危害性大11.3 SQL注入攻击与防范11.3.3 SQL注入攻击实现过程1寻找 SQL注入点 2获取和验证 SQL注入点 3获取信息 4实施控制 11.3 SQL注入攻击与防范11.3.4 寻找 SQL注入点n 用以下步骤就可测试出页面是否存在 SQL注入漏洞：1附加一个单引号2附加 and 1=13附加 and 1=2 11.3 SQL注入攻击与防范11.3.5 获取信息和实施攻击n 在找到 SQL注入攻击点之后，便可以进行各种有意图的试验，获取相应信息或进行破坏攻击等操作。q 1判断数据库类型q 2猜解表名和字段q 3删除数据库信息 11.3 SQL注入攻击与防范11.3.6 SQL注入攻击检测n 用以下方法检测 Web站点是否遭受过 SQL注入攻击。q 1数据库检查q 2 IIS日志检查q 3其它相关信息判断 11.3 SQL注入攻击与防范11.3.7 SQL注入攻击的防范 n 防范 SQL注入攻击的方法主要有：q 1对提交数据的合法性进行检查q 2屏蔽出错信息q 3. 使用 SQL变量 q 4. 权限设置 11.4 跨站脚本攻击n 跨站脚本攻击（ Cross-Site Scripting，简称XSS）指的是恶意攻击者向 Web页面里插入恶意 html代码，当用户 浏览 该页面时，嵌入其中 Web页面的 html代码会被执行，从而达到恶意用户的特殊目的。n XSS攻击的核心思想就是在 html页面中注入恶意代码。在 XSS攻击中，分为攻击者、目标服务器和受害者。11.4 跨站脚本攻击11.4.2 XSS攻击的危害n 1盗取各类用户帐户，如机器登录帐户、用户网银帐户、各类管理员帐户。n 2控制服务器数据，包括读取、篡改、添加、删除服务器上的数据。n 3引导钓鱼，利用 XSS的注入脚本，可以很方便地注入钓鱼页面的代码，从而引导钓鱼攻击。n 4注入恶意软件，攻击者可以很方便地在脚本中引入一些恶意软件，比如病毒、木马、蠕虫等等。n 5控制受害者机器向其它网站发起攻击。 11.4 跨站脚本攻击11.4.3 XSS攻击分类n 根据 XSS脚本注入方式的不同，将 XSS攻击分为如下三类。1基于 DOM的跨站脚本攻击2反射型跨站脚本攻击3持久型跨站脚本攻击 11.4 跨站脚本攻击11.4.4 XSS攻击的防范n XSS攻击是一种隐蔽性很高，危害性很大的网络应用安全漏洞。下面介绍几种常用的 XSS预防措施。1持有一切输入都是有害的，不要信任任何输入的态度，进行严格的输入检测。对用户所有输入数据进行检查，过滤或替换其中的危险字符，比如： “, “:“, “%“等，另外也要考虑到用户可能绕开 ASCII码，使用十六进行编码如 “%3c”（ “”）等来输入脚本。 11.4 跨站脚本攻击2替换输出编码。由于 XSS攻击是因为 Web应用程序将用户的输入直接嵌入到某个页面中，作为此页面的一部分进行执行。因此，可以在Web应用程序输出用户数据时，用htmlEncoder等工具先对数据进行编码，然后再输出到目标页面。这样， Web应用程序就会把用户输入的危险字符当成普通字符进行数据，而不会作为 html代码的一部分去执行。 11.4 跨站脚