17 第六章 任务1 Web 应用安全保护（2+2学时）

Web应用安全保护厚德强能、求实创新第六章任务1认识应用安全1应用安全与Web应用安全分类2Web应用漏洞的检测3Web应用安全措施4Web应用安全实操演练5厚德强能、求实创新应用安全（ApplicationSecurity）是指通过采取一系列技术和管理措施，确保应用程序在开发、部署、运行和维护过程中能够抵御各种安全威胁。应用软件(办公软件、游戏、浏览器等用户直接使用的程序)中间件(数据库系统、Web服务器、消息队列、运行时环境等)提供通用服务，简化应用开发，屏蔽底层差异操作系统(麒麟、UOS、Windows、Linux、macOS等)管理硬件资源，提供系统调用接口，调度任务驱动程序(显卡驱动、网卡驱动、打印机驱动等)翻译操作系统指令为硬件能理解的控制信号硬件(CPU、内存、硬盘、显卡、网卡等物理设备)执行实际计算、存储和通信操作（1）应用安全概念应用程序是什么？1认识应用安全厚德强能、求实创新（1）开发安全：在应用程序的开发阶段，通过安全的编码实践、代码审查和安全测试，确保应用程序在设计和实现过程中没有安全漏洞。例如，避免使用不安全的函数或库，防止SQL注入、跨站脚本（XSS）等常见漏洞的产生。（2）部署安全：在应用程序部署到生产环境时，确保服务器、网络和操作系统等基础设施的安全配置，防止未经授权的访问和攻击。例如，正确配置防火墙规则、限制不必要的端口和服务、使用安全的通信协议等。（3）运行安全：在应用程序运行过程中，通过实时监控、日志分析和入侵检测等手段，及时发现和响应潜在的安全威胁，确保应用程序的正常运行。例如，检测异常的用户行为、防止分布式拒绝服务（DDoS）攻击等。（4）数据安全：保护应用程序处理和存储的数据，确保数据的保密性、完整性和可用性。例如，对敏感数据进行加密存储和传输、实施访问控制机制、防止数据泄露等。（2）应用安全的核心要素1认识应用安全厚德强能、求实创新第三方组件风险。应用开发过程中使用的开源库、第三方API等组件，若存在安全漏洞，可能成为攻击者入侵的突破口。许多知名开源项目曾因安全漏洞导致大量用户数据泄露。威胁外部攻击威胁。黑客利用应用程序的漏洞，如SQL注入、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）等，非法获取数据、篡改页面内容或控制用户账号。此外，DDoS攻击可导致应用服务中断，影响业务正常运行。内部隐患威胁。企业内部员工的误操作、权限滥用，或内部数据泄露，都可能对应用安全造成严重影响。例如，员工随意下载不安全的第三方插件，可能引入恶意代码。1认识应用安全（3）应用安全威胁厚德强能、求实创新保护数据保密性。确保应用程序处理的敏感数据（如用户个人信息、商业机密等）不被未经授权的人员访问或泄露。例如，通过加密技术对数据进行加密存储和传输，限制数据访问权限等。保护数据完整性。确保应用程序处理的数据在存储、传输和处理过程中不被篡改或破坏。例如，通过数字签名、数据校验等技术验证数据的完整性和真实性。确保数据可用性。确保应用程序在正常运行时能够及时、准确地提供数据和服务，防止因攻击或故障导致数据不可用。例如，通过备份和恢复机制、高可用性架构等措施，确保数据的可用性。防止未经授权的访问。确保只有经过授权的用户才能访问应用程序及其数据，防止未经授权的人员通过漏洞或配置错误获取访问权限。例如，通过身份认证、授权机制、访问控制列表等技术，限制用户对应用程序的访问。检测和响应安全事件。在应用程序运行过程中，通过实时监控、日志分析和入侵检测等手段，及时发现和响应潜在的安全威胁，防止安全事件的发生或扩大。例如，通过安全信息和事件管理系统（SIEM）对应用程序的日志进行分析，及时发现异常行为并采取措施。（4）应用安全目标1认识应用安全厚德强能、求实创新2应用安全与Web应用安全分类（1）应用安全分类（1）按漏洞的成因分类，可以把漏洞分为输入验证漏洞、访问控制漏洞、配置错误漏洞、代码逻辑漏洞。（2）按漏洞的利用方式分类，可以把漏洞分为远程利用漏洞、本地利用漏洞。（3）按漏洞所在的位置分类，可以把漏洞分为客户端漏洞、服务器端漏洞。厚德强能、求实创新（2）Web应用安全分类2应用安全与Web应用安全分类依据OWASPTop10最新发布的内容，十大最为严重且普遍存在的Web应用程序漏洞类型包括：注入漏洞失效的访问控制敏感数据泄露不安全的设计安全配置错误易受攻击与过时的组件身份识别与身份验证错误软件与数据完整性故障安全日志记录与监控故障服务器端请求伪造。厚德强能、求实创新3Web应用漏洞的检测应用漏洞检测是指通过各种技术和工具，系统地检查应用程序的代码、配置和运行环境，以发现其中可能存在的漏洞的过程。这些漏洞可能被攻击者利用，从而威胁到应用的保密性、完整性和可用性。应用漏洞检测方法分为静态应用安全检测法和动态应用安全检测法。1.静态应用安全检测法静态应用安全检测法（StaticApplicationSecurityTesting，SAST）是一种在不执行程序代码的情况下，通过分析应用程序的源代码、字节码或二进制文件来发现其中可能存在的漏洞的测试方法。它是一种白盒测试技术（1）代码审查（2）静态代码分析工具厚德强能、求实创新3Web应用漏洞的检测2.动态应用安全检测法（1）漏洞扫描。（2）模糊测试。（3）渗透测试。（4）深度包检测厚德强能、求实创新3Web应用漏洞的检测3．其他应用安全检测法（1）配置检查（2）安全审计（3）第三方安全检测服务厚德强能、求实创新4Web应用安全措施1．输入验证2．身份验证与授权3．加密技术应用4．安全配置管理5．日志记