任务5.3 Web应用程序的安全配置

计算机网络安全管理技术项目五任务5.3Web应用程序的安全配置Web应用的安全管理【任务目标】1．学会使用注入工具模拟SQL注入攻击2．通过SQL注入的攻防操作，加深对SQL注入的理解和防御【任务环境】1、主流PC机一台

2、VMwareWorkstation软件3、phpStudy工具4、dvwa平台任务5.3Web应用程序的安全配置

【知识支撑】一、Web应用程序的安全威胁Web应用程序安全威胁从攻击技术的角度分成以下6类：1、针对认证机制的攻击

针对用来确认用户、服务或应用程序身份认证机制的攻击手段，包括暴力破解、利用认证机制不完善的弱点、攻击口令恢复验证机制等。

任务5.3Web应用程序的安全配置

2、针对授权机制的攻击

针对用来确认用户、服务或应用程序是否具有执行动作权限的攻击手段，包括利用授权机制不完善的弱点、利用会话失效机制不完善的弱点、会话身份窃取攻击等。

任务5.3Web应用程序的安全配置

3、客户端攻击

扰乱或渗透攻击Web站点客户端用户的攻击手段，包括内容欺骗、跨站脚本攻击等。

4、命令执行攻击

在Web站点上执行远程命令的攻击手段，包括缓冲区溢出、格式化字符串、操作系统命令注入、SQL注入等。任务5.3Web应用程序的安全配置

5、信息暴露

获取Web站点的相关系统信息的攻击手段，包括目录列举、路径遍历、资源位置预测等。6、逻辑攻击

扰乱或渗透攻击Web应用逻辑流程的攻击手段，包括功能滥用、拒绝服务攻击、对抗自动程序不完善、处理验证过程不完善等。任务5.3Web应用程序的安全配置国际知名的安全团队WASC(WebApplicationSecurityConsortium)在2010年公布的《WASCWeb安全威胁分类v2.0》中，列出了Web应用程序的15类安全弱点和34种攻击技术手段。其中XSS跨站脚本、SQL注入、会话身份窃取等攻击是主要的攻击技术手段。任务5.3Web应用程序的安全配置二、Web应用程序的安全防范措施

1、在满足需求的情况下，尽量使用静态页面代替动态页面。采用动态内容、支持用户输入的Web应用程序较静态HTML具有较高的安全风险，因此在设计和开发Web应用时，应谨慎考虑是否使用动态页面。通常信息发布类网站无需使用动态页面引入用户交互，目前搜狐、新浪等门户网站就是采用了静态页面代替动态页面的构建方法。任务5.3Web应用程序的安全配置

2、对于必须提供用户交互、采用动态页面的Web站点，尽量使用具有良好安全声誉和稳定技术支持力量的Web应用软件包，并定期进行Web应用程序的安全评估和漏洞检测，升级并修复安全漏洞。任务5.3Web应用程序的安全配置

3、强化程序开发者在Web应用开发过程的安全意识和知识，对用户输入的数据进行严格验证，并采用有效的代码安全质量保障技术，对代码进行安全检测。4、操作后台数据库时，尽量采用视图、存储过程等技术，以提升安全性。5、使用Web服务器软件提供的日志功能，对Web应用程序的所有访问请求进行日志记录和安全审计。任务5.3Web应用程序的安全配置

【任务实施】1、启动VMwareWorkstation，然后开启Win7-1虚拟机2、安装phpStudy工具双击phpStudy安装文件，选择安装路径（默认安装在C盘）后单击确定便开始安装，如图所示。任务5.3Web应用程序的安全配置安装完成后进入主界面，如图所示。任务5.3Web应用程序的安全配置

3、使用phpStudy工具搭建环境在phpStudy的主界面上单击启动按钮，便可一键搭建php+mysql+nginx/apache环境，如图所示。任务5.3Web应用程序的安全配置

4、在dvwa平台上进行SQL注入1）将dvwa源码放入使用phpStudy工具搭建的网站根目录下。2）在网页浏览器的地址栏中输入http:///

dvwa1.0.7/setup.php，打开dvwa平台的配置页面，如图所示。任务5.3Web应用程序的安全配置

3）在页面上单击“创建/重置数据库”。4）重新在网页浏览器的地址栏中输入http://127.0.0

.1/dvwa1.0.7/login.php，进入dvwa平台，在登录界面上输入用户名admin和密码password，如图所示。任务5.3Web应用程序的安全配置

5）在平台主界面上选择A1-SQL注入选项进行回显注入，如图所示。任务5.3Web应用程序的安全配置

6）在用户ID的文本框中输入用户ID可以显示用户相关信息，比如输入1会显示如下信息：“ID:1Firstname:adminSurname:admin”。如果在用户ID处使用注入语句进行攻击，即在用户ID文本框中输入“1'unionselect1,concat(user,0x3a,password)fromusers#”，页面上就会显示users表中的账号和密码，如图所示。任务5.3Web应用程序的安全配置任务5.3Web应用程序的安全配置

5、SQL注入攻击的防御1）最小权限原则。如非必要，不要使用sa、dbo等权限较高的账户；

2）对用户的输入进行严格的检查，过滤掉一些特殊字符，强制约束数据类型、约束输入长度等；

3）使用存储过程代替简单的SQL语句；4）当SQL运行出错时，不要把全部的出错信息全部显示给用户，以免泄露一些数据库的信息。任务5.