web應用安全幻燈片

Web應用安全

目錄/contents課題背景Web應用安全概述常見WEB應用安全隱患常見WEB應用案例分析Web安全技術

課題背景

盡管不同的企業(yè)會有不同的Web環(huán)境搭建方式，一個典型的Web應用通常是標準的三層架構模型。由于網絡技術日趨成熟，黑客們也將注意力從以往對網絡服務器的攻擊逐步轉移到了對Web應用的攻擊上。根據Gartner的最新調查，信息安全攻擊有75%都是發(fā)生在Web應用而非網絡層面上。同時，數據也顯示，三分之二的Web站點都相當脆弱，易受攻擊。然而現實確是，絕大多數企業(yè)將大量的投資花費在網絡和服務器的安全上，沒有從真正意義上保證Web應用本身的安全，給黑客以可乘之機。Web攻擊事件-篡改數據Web攻擊事件-跨站攻擊

隨著web的廣泛應用，Internet中與web相關的安全事故正成為目前所有事故的主要組成部分，由圖可見，與web安全有關的網頁惡意代碼和網站篡改事件占據了所有事件的大部分，web安全面臨嚴重問題。形式越來越嚴重國家互聯網應急響應中心，一度引起中央電視臺媒體重點關注；引起國家司法機構大力整治。目的越來越利益從網站涂鴉到政府黑站；從到游戲幣到職業(yè)資格證；網銀大盜到網馬頻發(fā)。隊伍越來越壯大地下黑客利益鏈門檻越來越低黑站工具隨手可得；網站漏洞隨處可見；黑客培訓基地層出不窮web應用安全概況分析

什么是WEB應用

Web應用是由動態(tài)腳本、編譯過的代碼等組合而成。它通常架設在Web服務器上，用戶在Web瀏覽器上發(fā)送請求，這些請求使用HTTP協議，經過因特網和企業(yè)的Web應用交互，由Web應用和企業(yè)后臺的數據庫及其他動態(tài)內容通信。

Web組成部分服務器端（web服務器）在服務器結構中規(guī)定了服務器的傳輸設定，信息傳輸格式及服務器本身的基本開放結構客戶端（瀏覽器）客戶端通常稱為web瀏覽器，用于向服務器發(fā)送資源請求，并將受到的信息解碼顯示。通信協議（HTTP協議）HTTP是分布的web應用的核心技術協議，它定義了web瀏覽器向web服務器發(fā)送索取web頁面請求的格式以及web頁面在internet上的傳輸方式。WEB服務端安全

常見的問題就是：SQL注入，文件上傳，水平權限，系統(tǒng)命令執(zhí)行等漏洞。服務端安全問題是服務端程序邏輯和服務端的HTTP服務器，應用服務器以及數據庫服務器問題導致。WEB客戶端安全

常見的問題就是：XSS漏洞，CSRF漏洞，以及其他瀏覽器插件或者JavaApplet漏洞。客戶端的問題，主要是瀏覽器的特性導致的，攻擊的是WEB系統(tǒng)的用戶。

WEB安全分類XSS跨站CSRF網頁掛馬WebShellSQL注入拒絕服務釣魚欺騙上傳漏洞常見WEB應用安全隱患微博上的蠕蟲2011年６月份，新浪微博出現了一次比較大的ＸＳＳ攻擊事件。大量用戶自己發(fā)送諸如：“郭美美事件的一些未注意道德細節(jié)”“建黨大業(yè)中穿幫的地方”、“這是傳說中的神仙眷侶啊”等微博和私信，并自動關注以為名為hellosally的用戶。微博用戶中招后會自動向自己的粉絲發(fā)送含毒私信和微博，有人點擊后會再次中毒，形成惡性循環(huán)。

常見WEB應用案例分析XSS又叫CSS(CrossSiteScript)，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達到惡意攻擊用戶的特殊目的。XSS屬于被動式的攻擊，因為其被動且不好利用，所以許多人常忽略其危害性。

在XSS攻擊中，一般有三個角色參與：攻擊者、目標服務器、受害者的瀏覽器。

跨站腳本（XSS）

反射型XSS

反射型XSS也被稱為非持久性XSS，是現在最容易出現的一種XSS漏洞。XSS的Payload一般是寫在URL中，之后設法讓被害者點擊這/xss.php?username=<script>alert(/xss/)</script>這個鏈接。存儲型XSS

存儲型XSS又被稱為持久性XSS，存儲型XSS是最危險的一種跨站腳本。存儲型XSS被服務器端接收并存儲，當用戶訪問該網頁時，這段XSS代碼被讀出來響應給瀏覽器。反射型XSS與DOM型XSS都必須依靠用戶手動去觸發(fā)，而存儲型XSS卻不需要。DOMXSS

DOM的全稱為DocumentObjectModel,即文檔對象模型?；贒OM型的XSS是不需要與服務器交互的，它只發(fā)生在客戶端處理數據階段。簡單理解DOMXSS就是出現在javascript代碼中的xss漏洞。如果輸入/dom.html?content=<script>alert(/xss/)</script>，就會產生XSS漏洞。這種利用也需要受害者點擊鏈接來觸發(fā)，DOM型XSS是前端代碼中存在了漏洞，而反射型是后端代碼中存在了漏洞。攻擊流程示意圖XSS的危害1.修改網頁內容2.盜取各類用戶賬戶，如支付寶賬戶、用戶網銀賬戶、各類管理員賬戶。3.非法轉賬4.強制發(fā)送電子郵件5.網站掛馬6.重定向用戶到其他的網頁或者網站7.控制受害者機器向其他網站發(fā)起攻擊相對SQL注入而言，跨站腳本安全問題和特點更復雜，這使得對跨站腳本漏洞的防范難度更大?？缯灸_本問題與SQL注入漏洞類似，都是利用程序員編寫腳本或頁面過濾不足所導致010203

跨站請求的防范對于用戶可提交的信息要進行嚴格的過濾，防止跨站腳本漏洞的產生。跨站請求偽造CSRF02CSRF（Cross-SiteRequestForgery)即跨站請求偽造，通?？s寫為CSRF或者XSRF，是一種對網站缺陷的惡意利用。誕生于2000年，火于2007/2008年。CSRF通過偽裝來自受信任用戶的請求來利用受信任的網站，通過社會工程學的手段（如通過電子郵件發(fā)送一個鏈接）來蠱惑受害者進行一些敏感性的操作，如修改密碼、修改Ｅ－ｍａｉｌ，轉賬等，而受害者還不知道他已經中招。WebA為存在CSRF漏洞的網站，WebB為攻擊者構建的惡意網站，UserC為WebA網站的合法用戶。CSRF的攻擊原理1.用戶C打開瀏覽器，訪問受信任網站A，輸入用戶名和密碼請求登錄網站A；2.在用戶信息通過驗證后，網站A產生Cookie信息并返回給瀏覽器，此時用戶登錄網站A成功，可以正常發(fā)送請求到網站A；3.用戶未退出網站A之前，在同一瀏覽器中，打開一個TAB頁訪網站B；4.網站B接收到用戶請求后，返回一些攻擊性代碼，并發(fā)出一個請求要求訪問第三方站點A；5.瀏覽器在接收到這些攻擊性代碼后，根據網站B的請求，在用戶不知情的情況下攜帶Cookie信息，向網站A發(fā)出請求。網站A并不知道該請求其實是由B發(fā)起的，所以會根據用戶C的Cookie信息以C的權限處理該請求，導致來自網站B的惡意代碼被執(zhí)行。CSRF攻擊原理給攻擊者提升權限越權執(zhí)行危險操作增加管理員盜取用戶銀行卡/信用卡CSRF的主要危害增加驗證碼Cookie/session失效時間驗證HTTP中Refer字段Token增加get/post請求的隨機值CSRF的防御情景導入032011年最轟動IT界的安全事件是CSDN泄露用戶名和密碼的事件，導致CSDN數據庫中的600多萬用戶的登錄名和密碼遭到泄露，后果是CSDN臨時關閉系統(tǒng)登錄，進行系統(tǒng)恢復，CSDN用戶暫時停用。同年3月，一個被命名為LizaMoon的SQL注入攻擊席卷全球，許多網站遭到攻擊，網頁內容中被典型ＷＥB應用漏洞塞入LizaMoon字符串疑似掛馬鏈接，通過Google查詢LizaM關鍵字，被植入而已鏈接的ＵＲＬ數量在兩天內有２８０００個急速增長到３８００００.此次LizaMoon攻擊利用了一個很巧妙的SQL注入，導致全球五萬中文網頁被感染。

通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令。具體來說，它是利用現有應用程序，將（惡意）的SQL命令注入到后臺數據庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的數據庫，而不是按照設計者意圖去執(zhí)行SQL語句。SQL注入原理SQL注入實例詳解1、首先，創(chuàng)建一張實驗用的數據表：CREATETABLEusers(`id`int(11)NOTNULLAUTO_INCREMENT,`username`varchar(64)NOTNULL,`password`varchar(64)NOTNULL,`email`varchar(64)NOTNULL,PRIMARYKEY(`id`),UNIQUEKEY`username`(`username`))ENGINE=MyISAMAUTO_INCREMENT=3DEFAULTCHARSET=latin1;2、添加一條記錄用于測試：INSERT

INTO

users

(username,password,email)VALUES('MarcoFly',md5('test'),'marcofly@');3.當用戶點擊提交按鈕的時候，將會把表單數據提交給validate.php頁面，validate.php頁面用來判斷用戶輸入的用戶名和密碼有沒有都符合要求(這一步至關重要，也往往是SQL漏洞所在)。4.填好正確的用戶名(marcofly)和密碼(test)后，點擊提交，將會返回給我們“歡迎管理員”的界面。5.在用戶名輸入框中輸入:’or1=1#,密碼隨便輸入，這時候的合成后的SQL查詢語句為：select*fromuserswhereusername=''or1=1#'andpassword=md5('')語義分析：“#”在mysql中是注釋符，這樣井號后面的內容將被mysql視為注釋內容，這樣就不會去執(zhí)行了，換句話說，以下的兩句sql語句等價：select*fromuserswhereusername=''or1=1#'andpassword=md5('')等價于select*fromuserswhereusername=''or1=1網頁被惡意篡改在不經授權的情況下操作數據庫中的數據私自添加操作系統(tǒng)賬號和數據庫成員賬號010203SQL注入危害

網頁掛馬釣魚欺騙是一種誘騙用戶披露他們的個人信息，竊取用戶的銀行資料的詐騙手段其他Web滲透攻擊040506SQL注入危害網頁掛馬指的是把一個木馬程序上傳到一個網站里面然后用木馬生成器生一個網馬，再上到空間里面再加代碼使得木馬在打開網頁時運行！攻擊目的的明確性，攻擊步驟的逐步與漸進性，攻擊手段的多樣性和綜合性。永遠不要信任用戶的輸入

對用戶的輸入進行校驗，可以通過正則表達式，或限制長度；對單引號和雙"-"進行轉換等。永遠不要使用動態(tài)拼裝sql可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。永遠不要使用管理員權限的數據庫連接為每個應用使用單獨的權限有限的數據庫連接。SQL的防范措施情景導入0411年的時候，當當網（）存在一個公開的HTTP接口myaddress.aspx。此接口根據接收的參數addressid來返回json對/值形式的消費者收貨地址數據，然后在前端頁面上由Javascript解析進行輸出。這是一個很多同類電子商務類網站都會用到的一個普通功能。在漏洞報告中，測試人員利用傳入參數的可遍歷性(識別不同用戶的整型參數addressid)，通過改變輸入不同的addressid參數，并且利用自動化腳本或者工具進Fuzzing暴力測試，順利的遍歷輸出其他用戶的個人信息及隱私。這是一個典型的越權訪問案例。修復方案也非常簡單，在WebServer上對HttpRequest請求和當前的用戶身份進行校驗。28%39%33%越權訪問存在形式1.非法用戶的越權訪問2.合法用戶的越權訪問什么是越權訪問？越權訪問(BrokenAccessControl,簡稱BAC)，顧名思義即是跨越權限訪問，是一種在web程序中常見的安全缺陷越權訪問的原理是對用戶提交的參數不進行權限檢查和跨域訪問限制而造成的。

越權訪問01

web服務器安全技術

web應用服務安全技術

web瀏覽器安全技術0203web安全技術web服務器安全技術Web防護課通過多種手段實現，這主要包括：安全配置web服務器、網頁防篡改技術、反向代理技術、蜜罐技術。安全配置web服務器充分利用web服務器本身擁有的如主目錄權限設定、用戶訪問控制、ip地址許可等安全機制，進行合理的有效的配置，確保web服務的訪問安全。網頁防篡改技術將網頁監(jiān)控與恢復結合在一起，通過對網站進行實時監(jiān)控，主動發(fā)現網頁頁面內容是否被非法改動，一旦被非法篡改，可立即恢復被篡改的網頁。蜜罐技術蜜罐系統(tǒng)通過模擬web服務器的行為，可以判別訪問是否對應用服務器及后臺后臺數據庫系統(tǒng)有害，能有效地防范各種已知及未知的攻擊行為。對于通常的網站或郵件服務器，攻擊流量通常會被合法流量所淹沒。而蜜罐進出的數據大部分是