工业云平台信息安全基础（微课版）课件 CH6 应用安全

第6章应用安全Web技术概述Web应用安全防护Web应用安全威胁Web技术概述6.1工业云平台面向不同行业、不同场景向用户提供设计、生产、管理、服务等一系列创新性业务应用，这些应用主要以工业App形式提供。工业App的开发和应用需要依托平台提供技术引擎、资源、模型、组件、接口，以及相应的管理功能，而这些多以平台Web服务的形式提供。Web是WorldWideWeb的简称，即万维网，是在互联网上通过HTTP和HTML等协议实现的一个大规模的、联机式的分布式信息应用。Web体系结构：HTTP通信过程：Web应用安全威胁6.2SQL注入XSS攻击XSS攻击是一种针对客户端浏览器的注入攻击。在XSS攻击中攻击者将恶意脚本注入Web应用程序中，将Web应用程序作为攻击其他网站的中转站。当其他用户访问被注入恶意脚本的Web应用程序时，恶意脚本就会被下载到该用户的浏览器中并运行，造成客户主机上的敏感信息泄露、Cookie被窃取、配置被更改等后果。XSS漏洞分为反射型XSS漏洞、存储型XSS漏洞和DOM型XSS漏洞：反射型XSS漏洞存储型XSS漏洞DOM型XSS漏洞跨站请求伪造攻击跨站请求伪造(CSRF)是一种对网站的恶意利用，CSRF通过伪装成来自受信任用户的请求来利用受信任的网站，通过社会工程学的手段，来蛊惑受害者进行一些敏感的操作，如修改密码、修改E-mail、转账等，而受害者毫不知情。CSRF攻击通常会利用目标站点的身份验证机制，例如，某个用户使用浏览器访问了受信任网站A，并输入用户名和密码，请求登录网站A，在用户通过身份验证后，网站A会生成Cookie信息并将其返回给用户的浏览器，此时用户可以成功登录网站A，并且可以向网站A正常发送请求；用户在退出网站A的登录之前，使用同一浏览器访问了网站B，网站B接收到该用户的请求后向其发送了一些攻击性代码，并且向其发出一个访问网站A的请求；用户的浏览器在收到恶意代码后，会在用户不知情的情况下，根据网站B的请求携带着Cookie信息向网站A发出请求，而网站A并不知道该请求是由网站B发出的，所以会根据该用户的Cookie信息以该用户的权限来处理这个请求，从而使得网站B的恶意代码被执行。文件上传与下载攻击文件上传与下载攻击是一种对云端数据库影响最大的攻击。有些文件上传功能没有严格限制用户文件后级及文件类型，导致攻击者向一些可通过Web访问的目录上传任意的HTML、ASP、PHP等文件，并能够将这些文件传递给相应的解析器，攻击者即可在远程服务器上执行任意已上传的恶意脚本。当系统存在文件上传漏洞时，攻击者可以将病毒、木马、WebShell及其他恶意脚本或者包含脚本的图片上传到服务器，这些文件将为攻击者的后续攻击提供便利。与文件上传对应的是文件下载以及由文件下载导致的路径遍历问题，会导致服务器的很多敏感信息甚至是产品的源代码和配置信息被泄露。弱口令攻击弱口令也称为弱密码，即容易破解的口令，通常是简单的数字组合、键盘上的邻近键或用户常见信息，例如123456、abc123、qwerty等。终端设备出厂配置的通用密码等也属于弱口令。弱口令漏洞有三大特点：危害大易利用修补难DDoS攻击分布式拒绝服务(DDoS)攻击是在拒绝服务(DoS)攻击基础之上产生的一种攻击方式，攻击者利用分布式的客户端向服务提供者发起大量请求，消耗或者长时间占用大量资源，从而使合法用户无法得到正常服务。DDoS攻击主要表现出以下特点：分布式使用欺骗技术，难以追踪发起攻击容。攻击特征不明显威力强大，破坏严重，难以防御Web应用安全防护6.3安全扫描技术是一项重要的网络安全技术，其基本原理是采用模拟恶意攻击者攻击的方式，对交换机、服务器、数据库和工作站中可能存在的已知安全漏洞进行检测。Web安全扫描主要方法：通过模拟恶意攻击者的攻击手法，对目标应用进行攻击性的安全漏洞扫描。先对Web应用进行端口扫描，获取该应用所涉及的相关端口和端口上的网络服务，然后将这些信息与漏洞扫描系统所提供的漏洞库相匹配，查看是否有满足匹配条件的漏洞存在。检测到安全漏洞后，采取措施对Web应用进行防护：在安全事件发生前，进行Web应用漏洞扫描并采取相应防护。在安全事件发生过程中，检测攻击并进行有效阻断和防护。在安全事件发生后，及时进行诊断和修复。Web安全扫描常采用的Web安全保护措施包括HTTP合规性控制、Web特征防护、敏感信息检测、弱口令检测、CSRF防护、文件上传下载防护、爬虫防御等。HTTP合规性控制Web特征防护敏感信息检测弱口令检测CSRF防护文件上传下载防护爬虫防御Web安全防护措施常见的