WEB安全测试培训ppt课件.ppt

1、WEB安全培训,1,知己知彼，百战不殆,2,Contents,用户输入,1,WEB程序安全问题,2,WEB服务器端安全问题,3,WEB应用扫描器,4,3,用户的输入,所有用户输入都是非法的，除非被证明不是 一半以上的程序安全问题源于缺乏对用户可控数据的处理 程序员如果本着人之初性本善的想法，那么写的程序难免出问题,4,用户输入,直接输入 GET POST Cookie HTTP头环境变量 间接输入 数据库取出的数据 编码的用户数据,5,WEB程序安全问题,SQL注入 跨站脚本 Url Redirect跳转 Access Control 越权访问,6,SQL注入,SQL注入简介 拼接的SQL字符

2、串改变了设计者原来的意图，执行了如泄露、改变数据等操作，甚至控制数据库服务器 拼接SQL字符串灵活方便，但是容易导致安全问题,7,SQL注入,SQL注入原理,http:/victim/news.php?id=3721,select * from news where id=$id,select * from news where id=3721,8,SQL注入利用,利用示例,http:/victim/news.php?id=0 union select name,pw from users,select * from news where id=$id,select * from news w

3、here id=0 union select name,pw from users,9,SQL注入的危害,泄露敏感信息 攻击者可以获取后台数据库的种类、版本，操作系统信息，数据库名、表名、字段名以及数据库中的数据信息 泄露敏感信息 无需知道口令就能以用户身份登陆应用系统 篡改敏感数据 对数据库进行增加、删除、篡改的操作 执行任意系统命令 利用数据库支持的特定功能，执行任意命令,10,SQL注入的危害,不同的数据库，不同的数据库配置，危害程度不一样 SQL Server默认配置并且使用sa帐号 MySQL版本、数据库root帐号、系统root用户启动服务,11,SQL注入,避免SQL注入 过滤拼

4、接字符串中的用户数据，尤其不能忽视间接输入数据的SQL语句拼接 如果可能，使用其他方法代替SQL语句拼接 使用WEB应用扫描器检测程序相对比较明显的SQL注入问题,12,跨站脚本,跨站脚本简介 跨站脚本(Cross-Site Scripting)是指远程WEB页面的html代码可以插入具有恶意目的的数据，当浏览器下载该页面，嵌入其中的恶意脚本将被解释执行，从而对客户端用户造成伤害。简称CSS或XSS 不影响服务端程序，但影响客户端,13,跨站脚本,请求： 展现： Hello alert(/XSS/) ,14,跨站脚本危害,窃取Cookie document.cookie 页面内容被篡改 Js代

5、码改写/跳转页面 蠕虫 Myspace 新浪微博 恶意代码,15,跨站脚本防御,显示用户数据时对 “ ,检查了角色 但是短消息属于用户，不属于角色,21,Access Control,Access Control安全策略 权限框架 SQL语句条件,22,Cookie的安全,简介 Cookie是Netscape的一个重大发明，当用户访问网站时，它能够在访问者的机器保存一段信息，可以用来标识各种属性。当用户再次访问这个网站的时候，它又能够读出这些信息，这样WEB程序就能知道该用户上次的操作 Cookie大大提高了用户体验，被广泛使用,23,Cookie的安全,Cookie的欺骗 Cookie是纯客

6、户端数据，非常容易伪造 文件型的Cookie可以直接改浏览器的Cookie文件 通过curl或firefox的LiveHTTPHeaders插件可以轻松伪造各种类型的Cookie数据,24,Cookie的安全,使用Cookie时应注意的问题 尽量不要用Cookie明文存储敏感信息 数据加密后保存到客户端的Cookie 为Cookie设置适当的有效时间,25,WEB服务器端安全问题,合理的文件权限设置 取消WEB用户对apache日志的读权限 nobody有写权限的WEB目录取消解析权限,26,WEB服务器端安全问题,信息泄露 服务器版本信息泄露 运行环境遗留测试文件 phpinfo.php conn.asp.bak 程序出错泄露物理路径 程序查询出错返回SQL语句 过于详细的用户验证返回信息,27,WEB应用扫描器,AppScan 非常专业的商业WEB应用扫描器 功能强大，准确率高，尤其是跨站脚本和SQL注入的检测 扫描速度较慢,28,WEB应用扫描器,WebInspect 相比AppScan，功能毫不逊色，抓URL