web應用安全課件

Web應用安全

目錄/contents課題背景Web應用安全概述常見WEB應用安全隱患常見WEB應用案例分析Web安全技術

課題背景

盡管不同的企業(yè)會有不同的Web環(huán)境搭建方式，一個典型的Web應用通常是標準的三層架構模型。由于網(wǎng)絡技術日趨成熟，黑客們也將注意力從以往對網(wǎng)絡服務器的攻擊逐步轉(zhuǎn)移到了對Web應用的攻擊上。根據(jù)Gartner的最新調(diào)查，信息安全攻擊有75%都是發(fā)生在Web應用而非網(wǎng)絡層面上。同時，數(shù)據(jù)也顯示，三分之二的Web站點都相當脆弱，易受攻擊。然而現(xiàn)實確是，絕大多數(shù)企業(yè)將大量的投資花費在網(wǎng)絡和服務器的安全上，沒有從真正意義上保證Web應用本身的安全，給黑客以可乘之機。Web攻擊事件-跨站攻擊Web攻擊事件-注入式攻擊

隨著web的廣泛應用，Internet中與web相關的安全事故正成為目前所有事故的主要組成部分，由圖可見，與web安全有關的網(wǎng)頁惡意代碼和網(wǎng)站篡改事件占據(jù)了所有事件的大部分，web安全面臨嚴重問題。形式越來越嚴重國家互聯(lián)網(wǎng)應急響應中心，一度引起中央電視臺媒體重點關注；引起國家司法機構大力整治。目的越來越利益從網(wǎng)站涂鴉到政府黑站；從到游戲幣到職業(yè)資格證；網(wǎng)銀大盜到網(wǎng)馬頻發(fā)。隊伍越來越壯大地下黑客利益鏈門檻越來越低黑站工具隨手可得；網(wǎng)站漏洞隨處可見；黑客培訓基地層出不窮web應用安全概況分析

Web組成部分服務器端（web服務器）在服務器結構中規(guī)定了服務器的傳輸設定，信息傳輸格式及服務器本身的基本開放結構客戶端（瀏覽器）客戶端通常稱為web瀏覽器，用于向服務器發(fā)送資源請求，并將受到的信息解碼顯示。通信協(xié)議（HTTP協(xié)議）HTTP是分布的web應用的核心技術協(xié)議，它定義了web瀏覽器向web服務器發(fā)送索取web頁面請求的格式以及web頁面在internet上的傳輸方式。XSS跨站CSRF網(wǎng)頁掛馬WebShellSQL注入拒絕服務釣魚欺騙上傳漏洞常見WEB應用安全隱患XSS又叫CSS(CrossSiteScript)，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達到惡意攻擊用戶的特殊目的。XSS屬于被動式的攻擊，因為其被動且不好利用，所以許多人常忽略其危害性。

在XSS攻擊中，一般有三個角色參與：攻擊者、目標服務器、受害者的瀏覽器?？缯灸_本（XSS）

反射型XSS反射型XSS也被稱為非持久性XSS，是現(xiàn)在最容易出現(xiàn)的一種XSS漏洞。XSS的Payload一般是寫在URL中，之后設法讓被害者點擊這<script>alert(/xss/)</script>這個鏈接。存儲型XSS存儲型XSS又被稱為持久性XSS，存儲型XSS是最危險的一種跨站腳本。存儲型XSS被服務器端接收并存儲，當用戶訪問該網(wǎng)頁時，這段XSS代碼被讀出來響應給瀏覽器。反射型XSS與DOM型XSS都必須依靠用戶手動去觸發(fā)，而存儲型XSS卻不需要。DOMXSS

DOM的全稱為DocumentObjectModel,即文檔對象模型?；贒OM型的XSS是不需要與服務器交互的，它只發(fā)生在客戶端處理數(shù)據(jù)階段。簡單理解DOMXSS就是出現(xiàn)在javascript代碼中的xss漏洞。如果輸入<script>alert(/xss/)</script>，就會產(chǎn)生XSS漏洞。這種利用也需要受害者點擊鏈接來觸發(fā)，DOM型XSS是前端代碼中存在了漏洞，而反射型是后端代碼中存在了漏洞。攻擊流程示意圖相對SQL注入而言，跨站腳本安全問題和特點更復雜，這使得對跨站腳本漏洞的防范難度更大?？缯灸_本問題與SQL注入漏洞類似，都是利用程序員編寫腳本或頁面過濾不足所導致010203

跨站請求的防范對于用戶可提交的信息要進行嚴格的過濾，防止跨站腳本漏洞的產(chǎn)生?？缯菊埱髠卧霤SRF02CSRF（Cross-SiteRequestForgery)即跨站請求偽造，通?？s寫為CSRF或者XSRF，是一種對網(wǎng)站缺陷的惡意利用。誕生于2000年，火于2007/2008年。CSRF通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站，通過社會工程學的手段（如通過電子郵件發(fā)送一個鏈接）來蠱惑受害者進行一些敏感性的操作，如修改密碼、修改Ｅ－ｍａｉｌ，轉(zhuǎn)賬等，而受害者還不知道他已經(jīng)中招。CSRF攻擊原理給攻擊者提升權限越權執(zhí)行危險操作增加管理員盜取用戶銀行卡/信用卡CSRF的主要危害情景導入032011年最轟動IT界的安全事件是CSDN泄露用戶名和密碼的事件，導致CSDN數(shù)據(jù)庫中的600多萬用戶的登錄名和密碼遭到泄露，后果是CSDN臨時關閉系統(tǒng)登錄，進行系統(tǒng)恢復，CSDN用戶暫時停用。同年3月，一個被命名為LizaMoon的SQL注入攻擊席卷全球，許多網(wǎng)站遭到攻擊，網(wǎng)頁內(nèi)容中被典型ＷＥB應用漏洞塞入LizaMoon字符串疑似掛馬鏈接，通過Google查詢LizaM關鍵字，被植入而已鏈接的ＵＲＬ數(shù)量在兩天內(nèi)有２８０００個急速增長到３８００００.此次LizaMoon攻擊利用了一個很巧妙的SQL注入，導致全球五萬中文網(wǎng)頁被感染。

通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令。具體來說，它是利用現(xiàn)有應用程序，將（惡意）的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫，而不是按照設計者意圖去執(zhí)行SQL語句。SQL注入原理SQL注入實例詳解1、首先，創(chuàng)建一張實驗用的數(shù)據(jù)表：CREATETABLEusers(`id`int(11)NOTNULLAUTO_INCREMENT,`username`varchar(64)NOTNULL,`password`varchar(64)NOTNULL,`email`varchar(64)NOTNULL,PRIMARYKEY(`id`),UNIQUEKEY`username`(`username`))ENGINE=MyISAMAUTO_INCREMENT=3DEFAULTCHARSET=latin1;2、添加一條記錄用于測試：INSERT

INTO

users

(username,password,email)VALUES('MarcoFly',md5('test'),'marcofly@');網(wǎng)頁被惡意篡改在不經(jīng)授權的情況下操作數(shù)據(jù)庫中的數(shù)據(jù)私自添加操作系統(tǒng)賬號和數(shù)據(jù)庫成員賬號010203SQL注入危害

網(wǎng)頁掛馬釣魚欺騙是一種誘騙用戶披露他們的個人信息，竊取用戶的銀行資料的詐騙手段其他Web滲透攻擊040506SQL注入危害網(wǎng)頁掛馬指的是把一個木馬程序上傳到一個網(wǎng)站里面然后用木馬生成器生一個網(wǎng)馬，再上到空間里面再加代碼使得木馬在打開網(wǎng)頁時運行！攻擊目的的明確性，攻擊步驟的逐步與漸進性，攻擊手段的多樣性和綜合性。永遠不要信任用戶的輸入

對用戶的輸入進行校驗，可以通過正則表達式，或限制長度；對單引號和雙"-"進行轉(zhuǎn)換等。永遠不要使用動態(tài)拼裝sql可以使用參數(shù)化的sql或者直接使用存儲過程進行數(shù)據(jù)查詢存取。永遠不要使用管理員權限的數(shù)據(jù)庫連接為每個應用使用單獨的權限有限的數(shù)據(jù)庫連接。SQL的防范措施情景導入0411年的時候，當當網(wǎng)（）存在一個公開的HTTP接口myaddress.aspx。此接口根據(jù)接收的參數(shù)addressid來返回json對/值形式的消費者收貨地址數(shù)據(jù)，然后在前端頁面上由Javascript解析進行輸出。這是一個很多同類電子商務類網(wǎng)站都會用到的一個普通功能。在漏洞報告中，測試人員利用傳入?yún)?shù)的可遍歷性(識別不同用戶的整型參數(shù)addressid)，通過改變輸入不同的addressid參數(shù)，并且利用自動化腳本或者工具進Fuzzing暴力測試，順利的遍歷輸出其他用戶的個人信息及隱私。這是一個典型的越權訪問案例。修復方案也非常簡單，在WebServer上對HttpRequest請求和當前的用戶身份進行校驗。28%39%33%越權訪問存在形式1.非法用戶的越權訪問2.合法用戶的越權訪問什么是越權訪問？越權訪問(BrokenAccessControl,簡稱BAC)，顧名思義即是跨越權限訪問，是一種在web程序中常見的安全缺陷越權訪問的原理是對用戶提交的參數(shù)不進行權限檢查和跨域訪問限制而造成的。

越權訪問01

web服務器安全技術

web應用服務安全技術

web瀏覽器安全技術0203web安全技術web服務器安全技術Web防護課通過多種手段實現(xiàn)，這主要包括：安全配置web服務器、網(wǎng)頁防篡改技術、反向代理技術、蜜罐技術。安全配置web服務器充分利用web服務器本身擁有的如主目錄權限設定、用戶訪問控制、ip地址許可等安全機制，進行合理的有效的配置，確保web服務的訪問安全。網(wǎng)頁防篡改技術將網(wǎng)頁監(jiān)控與恢復結合在一起，通過對網(wǎng)站進行實時監(jiān)控，主動發(fā)現(xiàn)網(wǎng)頁頁面內(nèi)容是否被非法改動，一旦被非法篡改，可立即恢復被篡改的網(wǎng)頁。蜜罐技術蜜罐系統(tǒng)通過模擬web服務器的行為，可以判別訪問是否對應用服務器及后臺后臺數(shù)據(jù)庫系統(tǒng)有害，能有效地防范各種已知及未知的攻擊行為。對于通常的網(wǎng)站或郵件服務器，攻擊流量通常會被合法流量所淹沒。而蜜罐進出的數(shù)據(jù)大部分是攻擊流量，因而，瀏覽數(shù)據(jù)、查明攻擊者的實際行為也就容易多了。Web應用服務安全技術主要包括身份認真玩那個技術、訪問控制技術、數(shù)據(jù)保護技術、安全代碼技術身份認證技術身份認證作為電子商務、網(wǎng)絡銀行應用中最重要的安全技術，目前主要有三種形式：簡單身份認證（賬號/口令）、強度身份認證（公鑰/私鑰）、基于生物特征的身份認證訪問控制技術指通過某種途徑，準許或者限制訪問能力和范圍的一種方法。通過訪問控制，可以限制對關鍵資源和敏感數(shù)據(jù)的訪問，防止非法用戶的入侵和合法用戶的誤操作導致的破壞。數(shù)據(jù)保護技術主要采用的是數(shù)據(jù)加密技術。安全代碼技術指的是在應用服務代碼編寫過程中引入安全編程的思想，使得編寫的代碼免受隱形字段攻擊、溢出攻擊、參數(shù)篡改攻擊的技術。web瀏覽器安全技術瀏覽器實現(xiàn)升級用戶應該經(jīng)常使用最新的補丁升級瀏覽器。Java安全限制Java在最初設計時便考慮了安全。如Java的