web应用安全课件

Web应用安全

目录/contents课题背景Web应用安全概述常见WEB应用安全隐患常见WEB应用案例分析Web安全技术

课题背景

尽管不同的企业会有不同的Web环境搭建方式，一个典型的Web应用通常是标准的三层架构模型。由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。然而现实确是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。Web攻击事件-跨站攻击Web攻击事件-注入式攻击

随着web的广泛应用，Internet中与web相关的安全事故正成为目前所有事故的主要组成部分，由图可见，与web安全有关的网页恶意代码和网站篡改事件占据了所有事件的大部分，web安全面临严重问题。形式越来越严重国家互联网应急响应中心，一度引起中央电视台媒体重点关注；引起国家司法机构大力整治。目的越来越利益从网站涂鸦到政府黑站；从到游戏币到职业资格证；网银大盗到网马频发。队伍越来越壮大地下黑客利益链门槛越来越低黑站工具随手可得；网站漏洞随处可见；黑客培训基地层出不穷web应用安全概况分析

Web组成部分服务器端（web服务器）在服务器结构中规定了服务器的传输设定，信息传输格式及服务器本身的基本开放结构客户端（浏览器）客户端通常称为web浏览器，用于向服务器发送资源请求，并将受到的信息解码显示。通信协议（HTTP协议）HTTP是分布的web应用的核心技术协议，它定义了web浏览器向web服务器发送索取web页面请求的格式以及web页面在internet上的传输方式。XSS跨站CSRF网页挂马WebShellSQL注入拒绝服务钓鱼欺骗上传漏洞常见WEB应用安全隐患XSS又叫CSS(CrossSiteScript)，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。

在XSS攻击中，一般有三个角色参与：攻击者、目标服务器、受害者的浏览器。跨站脚本（XSS）

反射型XSS反射型XSS也被称为非持久性XSS，是现在最容易出现的一种XSS漏洞。XSS的Payload一般是写在URL中，之后设法让被害者点击这<script>alert(/xss/)</script>这个链接。存储型XSS存储型XSS又被称为持久性XSS，存储型XSS是最危险的一种跨站脚本。存储型XSS被服务器端接收并存储，当用户访问该网页时，这段XSS代码被读出来响应给浏览器。反射型XSS与DOM型XSS都必须依靠用户手动去触发，而存储型XSS却不需要。DOMXSS

DOM的全称为DocumentObjectModel,即文档对象模型。基于DOM型的XSS是不需要与服务器交互的，它只发生在客户端处理数据阶段。简单理解DOMXSS就是出现在javascript代码中的xss漏洞。如果输入<script>alert(/xss/)</script>，就会产生XSS漏洞。这种利用也需要受害者点击链接来触发，DOM型XSS是前端代码中存在了漏洞，而反射型是后端代码中存在了漏洞。攻击流程示意图相对SQL注入而言，跨站脚本安全问题和特点更复杂，这使得对跨站脚本漏洞的防范难度更大。跨站脚本问题与SQL注入漏洞类似，都是利用程序员编写脚本或页面过滤不足所导致010203

跨站请求的防范对于用户可提交的信息要进行严格的过滤，防止跨站脚本漏洞的产生。跨站请求伪造CSRF02CSRF（Cross-SiteRequestForgery)即跨站请求伪造，通常缩写为CSRF或者XSRF，是一种对网站缺陷的恶意利用。诞生于2000年，火于2007/2008年。CSRF通过伪装来自受信任用户的请求来利用受信任的网站，通过社会工程学的手段（如通过电子邮件发送一个链接）来蛊惑受害者进行一些敏感性的操作，如修改密码、修改Ｅ－ｍａｉｌ，转账等，而受害者还不知道他已经中招。CSRF攻击原理给攻击者提升权限越权执行危险操作增加管理员盗取用户银行卡/信用卡CSRF的主要危害情景导入032011年最轰动IT界的安全事件是CSDN泄露用户名和密码的事件，导致CSDN数据库中的600多万用户的登录名和密码遭到泄露，后果是CSDN临时关闭系统登录，进行系统恢复，CSDN用户暂时停用。同年3月，一个被命名为LizaMoon的SQL注入攻击席卷全球，许多网站遭到攻击，网页内容中被典型ＷＥB应用漏洞塞入LizaMoon字符串疑似挂马链接，通过Google查询LizaM关键字，被植入而已链接的ＵＲＬ数量在两天内有２８０００个急速增长到３８００００.此次LizaMoon攻击利用了一个很巧妙的SQL注入，导致全球五万中文网页被感染。

通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。SQL注入原理SQL注入实例详解1、首先，创建一张实验用的数据表：CREATETABLEusers(`id`int(11)NOTNULLAUTO_INCREMENT,`username`varchar(64)NOTNULL,`password`varchar(64)NOTNULL,`email`varchar(64)NOTNULL,PRIMARYKEY(`id`),UNIQUEKEY`username`(`username`))ENGINE=MyISAMAUTO_INCREMENT=3DEFAULTCHARSET=latin1;2、添加一条记录用于测试：INSERT

INTO

users

(username,password,email)VALUES('MarcoFly',md5('test'),'marcofly@');网页被恶意篡改在不经授权的情况下操作数据库中的数据私自添加操作系统账号和数据库成员账号010203SQL注入危害

网页挂马钓鱼欺骗是一种诱骗用户披露他们的个人信息，窃取用户的银行资料的诈骗手段其他Web渗透攻击040506SQL注入危害网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面再加代码使得木马在打开网页时运行！攻击目的的明确性，攻击步骤的逐步与渐进性，攻击手段的多样性和综合性。永远不要信任用户的输入

对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双"-"进行转换等。永远不要使用动态拼装sql可以使用参数化的sql或者直接使用存储过程进行数据查询存取。永远不要使用管理员权限的数据库连接为每个应用使用单独的权限有限的数据库连接。SQL的防范措施情景导入0411年的时候，当当网（）存在一个公开的HTTP接口myaddress.aspx。此接口根据接收的参数addressid来返回json对/值形式的消费者收货地址数据，然后在前端页面上由Javascript解析进行输出。这是一个很多同类电子商务类网站都会用到的一个普通功能。在漏洞报告中，测试人员利用传入参数的可遍历性(识别不同用户的整型参数addressid)，通过改变输入不同的addressid参数，并且利用自动化脚本或者工具进Fuzzing暴力测试，顺利的遍历输出其他用户的个人信息及隐私。这是一个典型的越权访问案例。修复方案也非常简单，在WebServer上对HttpRequest请求和当前的用户身份进行校验。28%39%33%越权访问存在形式1.非法用户的越权访问2.合法用户的越权访问什么是越权访问？越权访问(BrokenAccessControl,简称BAC)，顾名思义即是跨越权限访问，是一种在web程序中常见的安全缺陷越权访问的原理是对用户提交的参数不进行权限检查和跨域访问限制而造成的。

越权访问01

web服务器安全技术

web应用服务安全技术

web浏览器安全技术0203web安全技术web服务器安全技术Web防护课通过多种手段实现，这主要包括：安全配置web服务器、网页防篡改技术、反向代理技术、蜜罐技术。安全配置web服务器充分利用web服务器本身拥有的如主目录权限设定、用户访问控制、ip地址许可等安全机制，进行合理的有效的配置，确保web服务的访问安全。网页防篡改技术将网页监控与恢复结合在一起，通过对网站进行实时监控，主动发现网页页面内容是否被非法改动，一旦被非法篡改，可立即恢复被篡改的网页。蜜罐技术蜜罐系统通过模拟web服务器的行为，可以判别访问是否对应用服务器及后台后台数据库系统有害，能有效地防范各种已知及未知的攻击行为。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量，因而，浏览数据、查明攻击者的实际行为也就容易多了。Web应用服务安全技术主要包括身份认真玩那个技术、访问控制技术、数据保护技术、安全代码技术身份认证技术身份认证作为电子商务、网络银行应用中最重要的安全技术，目前主要有三种形式：简单身份认证（账号/口令）、强度身份认证（公钥/私钥）、基于生物特征的身份认证访问控制技术指通过某种途径，准许或者限制访问能力和范围的一种方法。通过访问控制，可以限制对关键资源和敏感数据的访问，防止非法用户的入侵和合法用户的误操作导致的破坏。数据保护技术主要采用的是数据加密技术。安全代码技术指的是在应用服务代码编写过程中引入安全编程的思想，使得编写的代码免受隐形字段攻击、溢出攻击、参数篡改攻击的技术。web浏览器安全技术浏览器实现升级用户应该经常使用最新的补丁升级浏览器。Java安全限制Java在最初设计时便考虑了安全。如Java的