Web應(yīng)用安全技術(shù)課件

Web應(yīng)用安全技術(shù)WebApplication(In)security2023/1/4Web應(yīng)用安全技術(shù)WebApplication(In)s1戴銀濤

?daiytbit@本課程涵蓋Web核心技術(shù)，如HTTP、客戶與服務(wù)器端技術(shù)、數(shù)據(jù)編碼等；涉及Web應(yīng)用的主要核心功能，如客戶端控件、會話管理、訪問控制、應(yīng)用程序邏輯與體系架構(gòu)、Web服務(wù)器等；詳細(xì)分析各種類型的漏洞，如代碼注入、路徑遍歷、跨站點腳本、重定向攻擊、跨站點請求偽造、會話劫持、會話固定、緩沖區(qū)溢出、整數(shù)漏洞、格式化漏洞等2023/1/4戴銀濤?daiytbit@本課程涵蓋W2Web應(yīng)用安全互聯(lián)網(wǎng)的確是人類歷史上最偉大的發(fā)明之一，它徹底地改變了人們的工作和生活?，F(xiàn)在，可以毫不懷疑的說，人類生活的各個方面都已經(jīng)和互聯(lián)網(wǎng)息息相關(guān)。2023/1/4Web應(yīng)用安全互聯(lián)網(wǎng)的確是人類歷史上最偉大的發(fā)明之一，它徹底3Web應(yīng)用安全互聯(lián)網(wǎng)最引人矚目的部分就是各式各樣的Web應(yīng)用，它們使現(xiàn)實世界中的形形色色的業(yè)務(wù)都搬到了網(wǎng)絡(luò)上，人們可以足不出戶地購物、娛樂、處理各種日常事務(wù)。IT人可以自豪地夸耀自己引領(lǐng)了業(yè)務(wù)，超越商業(yè)界創(chuàng)造了一種生產(chǎn)、銷售、服務(wù)的新形式2023/1/4Web應(yīng)用安全互聯(lián)網(wǎng)最引人矚目的部分就是各式各樣的Web應(yīng)用4Web應(yīng)用安全比如今天的商業(yè)活動依靠Web生存已經(jīng)是無法回避的事實。從銀行到書店，從拍賣到游戲，大部分公司都在Web上進行交易如美國接近50%的音樂零售業(yè)業(yè)務(wù)發(fā)生在網(wǎng)上，2010年網(wǎng)游中的虛擬交易市場超過15億美元，美國超過一半的成年人使用互聯(lián)網(wǎng)進行自己的銀行業(yè)務(wù)2023/1/4Web應(yīng)用安全比如今天的商業(yè)活動依靠Web生存已經(jīng)是無法回避5Web應(yīng)用安全隨著智能手機的流行，現(xiàn)在大部分的網(wǎng)絡(luò)商務(wù)活動對消費者來說在任何時間，任何地點都可以進行。不管如何估算，Web上的業(yè)務(wù)都是經(jīng)濟的重要組成部分，而且正在以前所未有的速度發(fā)展2023/1/4Web應(yīng)用安全隨著智能手機的流行，現(xiàn)在大部分的網(wǎng)絡(luò)商務(wù)活動對6Web應(yīng)用安全但同時，承載著豐富功能與用途的Web應(yīng)用程序也成為惡意用戶與黑客等攻擊者的主要攻擊目標(biāo)。盡管近年來不斷發(fā)展的平臺技術(shù)在安全上有了巨大的進步，但是對于擴張如此迅速的Web應(yīng)用所面對的越來越廣泛的威脅仍然無能為力。2023/1/4Web應(yīng)用安全但同時，承載著豐富功能與用途的Web應(yīng)用程序也7Web應(yīng)用安全互聯(lián)網(wǎng)架構(gòu)本身的特點，決定了Web安全不再只是通過防火墻、防病毒軟件和安全補丁就能完成的任務(wù)而是涉及到開發(fā)人員，安全管理人員以及整個企業(yè)的所有部門乃至網(wǎng)上所有用戶的巨大項目。因此，如何確保Web應(yīng)用的安全已成為政府、企業(yè)，特別是銀行等金融機構(gòu)所面臨的主要挑戰(zhàn)2023/1/4Web應(yīng)用安全互聯(lián)網(wǎng)架構(gòu)本身的特點，決定了Web安全不再只是8Web應(yīng)用安全古語云：知己知彼，百戰(zhàn)不殆。只有充分了解攻擊者所采用的攻擊方法以及Web應(yīng)用程序中存在的可供攻擊者利用的各種漏洞，我們才能針對這些漏洞采取行之有效的防御方法。2023/1/4Web應(yīng)用安全古語云：知己知彼，百戰(zhàn)不殆。2022/12/29這里的"Web應(yīng)用程序",是指通過使用Web瀏覽器與Web服務(wù)器進行通信,從而加以訪問的應(yīng)用程序如前所述，Web應(yīng)用安全無疑是當(dāng)務(wù)之急，對相關(guān)各方而言，這一問題都至關(guān)重要2023/1/4這里的"Web應(yīng)用程序",是指通過使用Web瀏覽器與Web服10這里的各個方面包括：互聯(lián)網(wǎng)業(yè)務(wù)收入日益增長的公司向Web程序托付敏感信息的用戶通過竊取支付信息或入侵銀行賬戶盜竊資金的犯罪分子2023/1/4這里的各個方面包括：2022/12/2711Web應(yīng)用發(fā)展歷程在互聯(lián)網(wǎng)發(fā)展初期，萬維網(wǎng)（WorldWideWeb）僅由Web站點構(gòu)成，這些站點基本上都是包含靜態(tài)文檔的信息庫。隨后人們發(fā)明了Web瀏覽器，通過它來提取和顯示這些文檔。2023/1/4Web應(yīng)用發(fā)展歷程在互聯(lián)網(wǎng)發(fā)展初期，萬維網(wǎng)（WorldWi122023/1/42022/12/2713此時相關(guān)的信息流僅由服務(wù)器向瀏覽器單向傳送。多數(shù)站點并不驗證用戶的合法性，因為根本沒有必要這樣做所有用戶同等對待，收取同樣的信息2023/1/4此時相關(guān)的信息流僅由服務(wù)器向瀏覽器單向傳送。2022/12/14創(chuàng)建一個Web站點所帶來的安全威脅主要與Web服務(wù)器的軟件漏洞有關(guān)攻擊者入侵Web站點并不能獲取任何敏感信息，因為服務(wù)器上的保存的所有信息都可以公開查看此時入侵者往往會修改服務(wù)器上的文件以歪曲Web站點的內(nèi)容，或利用服務(wù)器的存儲容量和帶寬傳播“非法軟件”2023/1/4創(chuàng)建一個Web站點所帶來的安全威脅主要與Web服務(wù)器的軟件漏15如今的WWW與早期的已經(jīng)完全不同，Web上的大多數(shù)站點實際是應(yīng)用程序。它們功能強大，在服務(wù)器和瀏覽器之間進行雙向信息傳送。2023/1/4如今的WWW與早期的已經(jīng)完全不同，Web上的大多數(shù)站點實際是162023/1/42022/12/2717這些應(yīng)用程序支持注冊與登錄、金融交易、搜索以及用戶創(chuàng)作的內(nèi)容用戶獲取的內(nèi)容以動態(tài)形式生成，并且往往能滿足每個用戶的特殊要求。它們處理的許多信息屬于私密和高度敏感的信息。2023/1/4這些應(yīng)用程序支持注冊與登錄、金融交易、搜索以及用戶創(chuàng)作的內(nèi)容18所以安全問題至關(guān)重要如果用戶認(rèn)為Web應(yīng)用會將他們的信息泄露給未授權(quán)的訪問者，他們就會拒絕使用該程序2023/1/4所以安全問題至關(guān)重要2022/12/2719Web應(yīng)用帶來了新的重大安全威脅。應(yīng)用不同，所包含的漏洞也各不相同許多應(yīng)用是由開發(fā)人員獨立開發(fā)的，還有許多開發(fā)人員幾乎對他們所編寫的代碼可能引起的安全問題一無所知。2023/1/4Web應(yīng)用帶來了新的重大安全威脅。應(yīng)用不同，所包含的漏洞也各20為了實現(xiàn)核心功能，Web應(yīng)用通常需要與內(nèi)部計算機系統(tǒng)建立連接，這些系統(tǒng)中保存著高度敏感的數(shù)據(jù)，并能執(zhí)行強大的業(yè)務(wù)功能十年前，如果需要轉(zhuǎn)賬必須去銀行，讓銀行職員幫你完成交易今天，你可以訪問銀行的Web應(yīng)用程序，自己完成轉(zhuǎn)賬交易從而進入Web應(yīng)用程序的攻擊者能夠竊取個人信息，進行金融欺詐或執(zhí)行針對其他用戶的惡意行為2023/1/4為了實現(xiàn)核心功能，Web應(yīng)用通常需要與內(nèi)部計算機系統(tǒng)建立連接21Web應(yīng)用的常見功能創(chuàng)建Web應(yīng)用的目的是執(zhí)行可以在線完成的任何有用功能。常見的一些功能有購物（Amazon）社交網(wǎng)絡(luò)（Facebook）銀行服務(wù)（網(wǎng)上銀行）Web搜索（Google）博客，微博（Blog，Twitter）Web郵件（Gmail）交互信息（Wikipedia）2023/1/4Web應(yīng)用的常見功能創(chuàng)建Web應(yīng)用的目的是執(zhí)行可以在線完成的22除了可以使用計算機瀏覽器訪問外，同時還可以被智能手機或平板電腦訪問的應(yīng)用正快速增長大多數(shù)移動應(yīng)用或使用瀏覽器訪問，或由專門開發(fā)的客戶端使用基于HTTP的API與服務(wù)器通信此時不同的用戶平臺和訪問界面共享該應(yīng)用的功能和數(shù)據(jù)2023/1/4除了可以使用計算機瀏覽器訪問外，同時還可以被智能手機或平板電23除了上述的公共互聯(lián)網(wǎng)外，許多組織內(nèi)部也廣泛采用Web應(yīng)用執(zhí)行一些關(guān)鍵業(yè)務(wù)，許多程序設(shè)計高度敏感數(shù)據(jù)和功能：HR（人力資源）應(yīng)用允許用戶訪問收入信息，給出和得到工作表現(xiàn)反饋，管理招聘和獎懲程序。作為關(guān)鍵設(shè)備的管理界面如Web服務(wù)器和Mail服務(wù)器，用戶工作站以及虛擬機管理。協(xié)同軟件，用于共享文件，管理工作流和項目，并跟蹤問題。這些類型的功能往往經(jīng)常涉及重要的安全和治理問題，并且組織完全依靠內(nèi)置的Web應(yīng)用來管理和控制。2023/1/4除了上述的公共互聯(lián)網(wǎng)外，許多組織內(nèi)部也廣泛采用Web應(yīng)用執(zhí)行24商業(yè)應(yīng)用，如企業(yè)資源計劃（ERP）軟件，以前使用專有的（厚）客戶端應(yīng)用程序訪問，現(xiàn)在則可以使用web瀏覽器訪問軟件服務(wù)如電子郵件，原本需要一個單獨的郵件客戶端，現(xiàn)在可以通過諸如OutlookWebAccess來進行Web訪問。傳統(tǒng)的桌面辦公應(yīng)用，如文字處理器和Excel表等已遷移到Web應(yīng)用程序服務(wù)，如谷歌Apps和微軟OfficeLive。2023/1/4商業(yè)應(yīng)用，如企業(yè)資源計劃（ERP）軟件，以前使用專有的（厚）25在所有這些例子中，被視為“內(nèi)部”的應(yīng)用越來越多的被組織轉(zhuǎn)移到外部服務(wù)提供商實行外部托管以削減成本。在這些所謂的“云計算”解決方案中，組織內(nèi)部的關(guān)鍵業(yè)務(wù)功能和數(shù)據(jù)被廣泛暴露在潛在的攻擊者面前，并且組織越來越依賴于外部的，完全在他們的控制之外的整體安全防御體系。2023/1/4在所有這些例子中，被視為“內(nèi)部”的應(yīng)用越來越多的被組織轉(zhuǎn)移26這樣的時代正在快速迫近：大多數(shù)計算機用戶所需要的唯一客戶端就是一個Web瀏覽器用戶使用一組共享的協(xié)議和技術(shù)就能實現(xiàn)各種業(yè)務(wù)功能，但隨之也會得到不同范圍的共同安全漏洞2023/1/4這樣的時代正在快速迫近：2022/12/2727Web應(yīng)用的優(yōu)點Web應(yīng)用越來越流行的原因顯而易見，若干技術(shù)因素以及與主要的商業(yè)動機相結(jié)合，從而引發(fā)了互聯(lián)網(wǎng)使用方式上的重大變革HTTP是用于訪問互聯(lián)網(wǎng)的核心通信協(xié)議，它是輕量級的，無需連接。這一點提供了對通信錯誤的容錯性。應(yīng)用HTTP，許多傳統(tǒng)client-server（CS架構(gòu)）應(yīng)用程序中的服務(wù)器無需向每一個用戶開放網(wǎng)絡(luò)連接。HTTP還可以通過代理和其它協(xié)議傳輸，允許在任何網(wǎng)絡(luò)配置下進行安全通信2023/1/4Web應(yīng)用的優(yōu)點Web應(yīng)用越來越流行的原因顯而易見，若干技術(shù)28Web應(yīng)用的優(yōu)點每個Web用戶都在其計算機或智能移動終端上安裝了瀏覽器，Web應(yīng)用為瀏覽器動態(tài)部署用戶界面，不再像以前那樣需要發(fā)布和管理單獨的客戶端軟件，界面的變化只需在服務(wù)器上更改一次，即可立即生效。如今的瀏覽器功能非常強大，可構(gòu)建內(nèi)容豐富并且令人滿意的用戶界面。Web界面使用標(biāo)準(zhǔn)導(dǎo)航和輸入控件，可保證用戶即時熟悉這些功能，而不需要學(xué)習(xí)使用各種程序。應(yīng)用程序可通過客戶端腳本功能將部分功能處理交由客戶端完成，必要時，可使用厚客戶端組件任意擴展瀏覽器的功能。flash，ActiveX。。。2023/1/4Web應(yīng)用的優(yōu)點每個Web用戶都在其計算機或智能移動終端上安29Web應(yīng)用的優(yōu)點用于開發(fā)Web應(yīng)用的核心技術(shù)和語言相對簡單。即使是初學(xué)者，也可以使用現(xiàn)有的各種平臺和開發(fā)工具，開發(fā)出強大的應(yīng)用程序，還有大量開源代碼和其它資源可供整合到定制的應(yīng)用程序中2023/1/4Web應(yīng)用的優(yōu)點用于開發(fā)Web應(yīng)用的核心技術(shù)和語言相對簡單。30Web應(yīng)用安全與任何新興技術(shù)一樣，Web應(yīng)用程序也會帶來一系列新的安全方面的漏洞。這些常見的缺陷也在“與時俱進”，出現(xiàn)了一些開發(fā)人員在開發(fā)現(xiàn)有應(yīng)用程序時未曾考慮到的攻擊方式。由于安全意識的加強，一些問題已經(jīng)得到解決。但新技術(shù)的使用會引入新的漏洞。Web瀏覽器自身軟件的改進基本上消除了某些缺陷2023/1/4Web應(yīng)用安全與任何新興技術(shù)一樣，Web應(yīng)用程序也會帶來一系31Web應(yīng)用安全對Web應(yīng)用程序最嚴(yán)重的襲擊事件是那些暴露敏感數(shù)據(jù)或獲得了不受限制地訪問應(yīng)用程序運行的后端系統(tǒng)的權(quán)限。此類倍受矚目的危機繼續(xù)頻頻發(fā)生。另外，對于許多組織來說，任何攻擊導(dǎo)致系統(tǒng)宕機是一個重大事件?？墒褂脩?yīng)用程序級的拒絕服務(wù)攻擊來達(dá)到過去傳統(tǒng)的針對基礎(chǔ)設(shè)施所實施的資源枯竭攻擊相同的結(jié)果。但現(xiàn)在實施這些攻擊的技術(shù)和目的更加微妙，比如他們可能被用于在金融領(lǐng)域的服務(wù)交易，游戲，網(wǎng)上招標(biāo)，機票預(yù)訂等領(lǐng)域中來中斷特殊的用戶或服務(wù)來獲得針對同行的競爭優(yōu)勢。2023/1/4Web應(yīng)用安全對Web應(yīng)用程序最嚴(yán)重的襲擊事件是那些暴露敏感32Web應(yīng)用安全在整個發(fā)展過程中，不時有知名的網(wǎng)站被攻破的新聞報道。情況似乎沒有好轉(zhuǎn)，也沒有跡象表明這些安全問題已經(jīng)得到解決可以說，如今的Web應(yīng)用安全領(lǐng)域是攻擊者與計算機資源和數(shù)據(jù)防御者之間最重要的戰(zhàn)場，在可預(yù)見的將來，這種情況可能仍將持續(xù)2023/1/4Web應(yīng)用安全在整個發(fā)展過程中，不時有知名的網(wǎng)站被攻破的新聞33“本站點是安全的”目前人們已經(jīng)普遍認(rèn)識到，對Web應(yīng)用而言，安全確實是個問題。瀏覽某些網(wǎng)站時，他們會向你保證該網(wǎng)站確實是安全的。大多數(shù)網(wǎng)站會強調(diào)他們是安全的，因為他們采用了SSL技術(shù)，如：“本站點絕對安全，因為我們使用了128位安全套階層（SecureSocketLayer,SSL)技術(shù)設(shè)計，可防止未授權(quán)用戶查看您的任何信息。您可以放心使用本站點，我們絕對保證您的數(shù)據(jù)安全。”站點常常要求用戶核實站點證書，并想法設(shè)法讓用戶相信其所采用的先進加密協(xié)議無懈可擊，從而說服用戶放心地向其提供個人信息2023/1/4“本站點是安全的”目前人們已經(jīng)普遍認(rèn)識到，對Web應(yīng)用而言，34越來越多的組織還舉出他們遵守支付卡行業(yè)（PCI）標(biāo)準(zhǔn)，以保證用戶，他們是安全的。例如：我們對安全非常重視，每天掃描以確保我們的網(wǎng)站保持PCI兼容從而免受黑客攻擊。你可以在下面的標(biāo)志下看到最新的掃描日期，從而保證我們的網(wǎng)站是安全的。2023/1/4越來越多的組織還舉出他們遵守支付卡行業(yè)（PCI）標(biāo)準(zhǔn)，以保證35事實上，大多數(shù)Web應(yīng)用并不安全，盡管有SSL技術(shù)以及常規(guī)PCI掃描被廣泛使用。下面是對2007-2011年間測試的Web應(yīng)用受一些常見類型的漏洞影響的比例：2023/1/4事實上，大多數(shù)Web應(yīng)用并不安全，盡管有SSL技術(shù)以及常規(guī)P36常見Web應(yīng)用漏洞不完善的身份驗證措施（62%）：這類漏洞包括應(yīng)用程序登陸機制中的各種缺陷，可能會使攻擊者破解保密性不強的密碼，暴力猜解或完全避開登陸。不完善的訪問控制措施（71%）：這一類問題涉及的情況包括：應(yīng)用程序無法為數(shù)據(jù)和功能提供全面保護，攻擊者可以查看其他用戶保存在服務(wù)器中的敏感信息，或者執(zhí)行特權(quán)操作。SQL注入（32%）：攻擊者可通過這一漏洞提交專門設(shè)計的輸入，干擾應(yīng)用程序與后端數(shù)據(jù)庫的交互活動。攻擊者能從應(yīng)用程序中提取任何數(shù)據(jù)、破壞其業(yè)務(wù)邏輯結(jié)構(gòu)，或者在數(shù)據(jù)庫服務(wù)器上執(zhí)行命令2023/1/4常見Web應(yīng)用漏洞不完善的身份驗證措施（62%）：2022/37常見Web應(yīng)用漏洞信息泄露（78%）：這一問題包括應(yīng)用程序泄露敏感信息，攻擊者利用這些敏感信息通過有缺陷的錯誤處理或其他行為攻擊應(yīng)用程序?？缯灸_本（94%）：攻擊者可以利用該漏洞攻擊應(yīng)用程序的其他用戶、訪問其信息、代表他們執(zhí)行未授權(quán)操作，或者向其發(fā)起其他攻擊。2023/1/4常見Web應(yīng)用漏洞信息泄露（78%）：2022/12/27382023/1/42022/12/2739SSL協(xié)議SSL協(xié)議，英文SecureSocketLayerProtocol，中文稱為安全套接層協(xié)議SSL協(xié)議最初由Internet的應(yīng)用先驅(qū)Netscape公司1995年設(shè)計開發(fā)，該協(xié)議是一種利用公共密鑰技術(shù)的工業(yè)標(biāo)準(zhǔn)，目前已廣泛應(yīng)用于互聯(lián)網(wǎng)，成為事實上的工業(yè)標(biāo)準(zhǔn)，主流瀏覽器及許多服務(wù)器都支持SSL協(xié)議目的是通過在收發(fā)雙方建立安全通道來提高應(yīng)用程序間交換數(shù)據(jù)的安全性，從而實現(xiàn)瀏覽器和服務(wù)器（通常是Web服務(wù)器）之間的安全通信2023/1/4SSL協(xié)議SSL協(xié)議，英文SecureSocketLay40凡是支持送SSL協(xié)議的網(wǎng)頁，都會以https://作為URL的開頭客戶在與服務(wù)器進行SSL會話中，如果使用的是微軟的IE瀏覽器，可以在右下方狀態(tài)欄中看到一只金黃色的鎖形安全標(biāo)志，用鼠標(biāo)雙擊該標(biāo)志，就會彈出服務(wù)器證書信息一臺支持SSL的典型網(wǎng)絡(luò)主機接收SSL連接的默認(rèn)端口是4432023/1/4凡是支持送SSL協(xié)議的網(wǎng)頁，都會以https://作為URL41但SSL并不能抵御直接針對某個應(yīng)用程序的服務(wù)器或客戶組件的攻擊，而許多成功的攻擊都恰恰屬于這種類型。特別需要指出的是，SSL并不能阻止上述任何漏洞或許多其他使應(yīng)用程序受到威脅的漏洞，無論是否使用SSL，大多數(shù)Web應(yīng)用程序仍然存在安全漏洞2023/1/4但SSL并不能抵御直接針對某個應(yīng)用程序的服務(wù)器或客戶組件的攻42核心安全問題：用戶可提交任意輸入與許多大量使用的應(yīng)用程序一樣，為確保安全，Web應(yīng)用程序必須解決一個根本問題。由于應(yīng)用程序無法控制用戶，用戶幾乎可向服務(wù)器端應(yīng)用程序提交任意輸入應(yīng)用程序必須假設(shè)所有輸入的信息都是惡意的輸入，并必須采取措施確保攻擊者無法使用專門設(shè)計的輸入破壞應(yīng)用程序、干擾業(yè)務(wù)邏輯或非法訪問數(shù)據(jù)及功能2023/1/4核心安全問題：用戶可提交任意輸入與許多大量使用的應(yīng)用程序一樣43核心安全問題：用戶可提交任意輸入這個核心問題表現(xiàn)在許多方面：用戶可干預(yù)客戶與服務(wù)器間傳送的所有數(shù)據(jù)，包括請求參數(shù)，cookie和HTTP信息頭?？奢p易避開客戶端執(zhí)行的任何安全控件，如輸入確認(rèn)驗證。用戶可按任何順序發(fā)送請求，并可在應(yīng)用程序要求之外的不同階段不止一次提交或根本不提交參數(shù)。用戶的操作可能與開發(fā)人員對用戶和應(yīng)用程序交互方式作出的任何假設(shè)完全不同用戶并不限于僅使用一種Web瀏覽器訪問應(yīng)用程序。大量各種各樣的工具可以協(xié)助攻擊Web應(yīng)用程序，這些工具既可整合在瀏覽器中，也可獨立于瀏覽器運作。這些工具能夠提出普通瀏覽器無法提交的請求，并能夠迅速生成大量的請求，查找和利用安全問題達(dá)到自己的目的。2023/1/4核心安全問題：用戶可提交任意輸入這個核心問題表現(xiàn)在許多方面：44核心安全問題：用戶可提交任意輸入絕大多數(shù)針對Web應(yīng)用程序的攻擊都涉及向服務(wù)器提交輸入，旨在引起一些應(yīng)用程序設(shè)計者無法預(yù)料或不希望出現(xiàn)的事件。以下例子說明為實現(xiàn)這種目的而提交的專門設(shè)計的輸入：更改以隱藏的HTML表單字段提交的產(chǎn)品價格，以更低廉的價格欺詐性地購買東西修改在HTTPcookies中傳送的會話令牌，劫持另一個驗證用戶的會話利用應(yīng)用程序處理過程中的邏輯錯誤刪除某些正常提交的參數(shù)改變由后端數(shù)據(jù)庫處理的某個輸入，從而注入一個惡意數(shù)據(jù)庫查詢以訪問敏感數(shù)據(jù)。2023/1/4核心安全問題：用戶可提交任意輸入絕大多數(shù)針對Web應(yīng)用程序的45核心安全問題：用戶可提交任意輸入毋庸置疑，SSL無法阻止攻擊者向服務(wù)器提交專門設(shè)計的輸入。應(yīng)用程序使用SSL僅僅表示網(wǎng)絡(luò)上的其他用戶無法查看或修改攻擊者傳送的數(shù)據(jù)。因為攻擊者控制著SSL通道的終端，能夠通過這條通道向服務(wù)器傳送任何內(nèi)容。如果前面提到的任何攻擊成功實現(xiàn)，那么不論其如何聲稱其站點如何安全，該應(yīng)用程序都很容易受到攻擊2023/1/4核心安全問題：用戶可提交任意輸入毋庸置疑，SSL無法阻止攻擊46關(guān)鍵問題因素任何情況下，如果一個應(yīng)用程序必須接受并處理可能為惡意的未經(jīng)驗證的數(shù)據(jù)，就會產(chǎn)生Web應(yīng)用程序面臨的核心安全問題但是，對Web應(yīng)用程序而言，幾種因素的結(jié)合使得問題更加嚴(yán)重，這也解釋了當(dāng)今互聯(lián)網(wǎng)上許多Web應(yīng)用無法很好解決這一問題的原因。2023/1/4關(guān)鍵問題因素任何情況下，如果一個應(yīng)用程序必須接受并處理可能為471：不成熟的安全意識與網(wǎng)絡(luò)和操作系統(tǒng)這些發(fā)展時間更長的領(lǐng)域相比，人們對Web應(yīng)用安全問題的意識還遠(yuǎn)遠(yuǎn)不夠成熟。雖然大多數(shù)IT安全人員掌握了相當(dāng)多的網(wǎng)絡(luò)安全與主機強化基礎(chǔ)知識，但他們對與Web應(yīng)用安全有關(guān)的許多核心概念仍然不甚了解，甚至存有誤解。即使是經(jīng)驗豐富的Web應(yīng)用程序開發(fā)人員也會經(jīng)常遇到一些對他們而言完全陌生的基本缺陷類型2023/1/41：不成熟的安全意識與網(wǎng)絡(luò)和操作系統(tǒng)這些發(fā)展時間更長的領(lǐng)域相482：獨立開發(fā)大多數(shù)Web應(yīng)用程序都由企業(yè)自己的員工或合作公司獨立開發(fā)。即使應(yīng)用程序采用第三方組件，通常也是使用新代碼將第三方組件進行自定義或拼湊在一起。在這種情況下，每個應(yīng)用程序都各不相同，并且可能包含其獨有的缺陷。這種情形與組織購買業(yè)內(nèi)一流產(chǎn)品并按照行業(yè)標(biāo)準(zhǔn)指南安裝的典型基礎(chǔ)架構(gòu)部署形成鮮明對照。2023/1/42：獨立開發(fā)大多數(shù)Web應(yīng)用程序都由企業(yè)自己的員工或合作公司493：欺騙性的簡化使用今天的Web應(yīng)用程序和開發(fā)工具，一個程序員新手也可能在短期內(nèi)從頭開始創(chuàng)建一個強大的應(yīng)用程序。但是，在編寫功能性代碼和編寫安全代碼之間存在著巨大的差異。許多有問題的Web應(yīng)用程序也是由善意的個人創(chuàng)建，他們只是缺乏發(fā)現(xiàn)安全問題的知識與經(jīng)驗2023/1/43：欺騙性的簡化使用今天的Web應(yīng)用程序和開發(fā)工具，一個程序503：欺騙性的簡化近年來的一個突出的趨勢是使用能提供現(xiàn)成的代碼組件的應(yīng)用程序框架來處理眾多共有的功能，如身份驗證，頁面模板，留言板等，然后與常見的后端基礎(chǔ)組件集成。這些框架的例子包括Liferay和AppFuse企業(yè)架構(gòu)等。這些產(chǎn)品使得建立應(yīng)用工作變得快速方便，而且不需要技術(shù)上理解應(yīng)用是如何工作的以及其可能包含的潛在漏洞風(fēng)險。但這同時也意味著許多公司使用相同的架構(gòu)，因而，一旦發(fā)現(xiàn)了某個安全漏洞，將影響許多不相干的應(yīng)用2023/1/43：欺騙性的簡化近年來的一個突出的趨勢是使用能提供現(xiàn)成的代碼514：迅速發(fā)展的威脅形勢Web應(yīng)用程序攻擊與防御研究發(fā)展相對不成熟，是一個正在蓬勃發(fā)展的領(lǐng)域，其中新概念與威脅出現(xiàn)的速度比傳統(tǒng)的技術(shù)要快得多。在項目開始之初就完全了解了當(dāng)前威脅的開發(fā)團隊，很可能到應(yīng)用程序開發(fā)完成并部署后也會面臨許多未知的威脅2023/1/44：迅速發(fā)展的威脅形勢Web應(yīng)用程序攻擊與防御研究發(fā)展相對不525：資源與時間限制由于獨立、一次性開發(fā)的影響，許多Web應(yīng)用程序的開發(fā)項目會受到嚴(yán)格的時間與資源限制。通常，設(shè)計或開發(fā)團隊不可能雇用專職的安全專家，而且由于項目進程的拖延，往往要等到項目周期的最后階段才由專家進行安全測試。為了兼顧各種要素，按期開發(fā)出穩(wěn)定而實用的應(yīng)用程序的要求往往使開發(fā)團隊忽視不明顯的安全問題。小型組織一般不愿多花時日評估一個新的應(yīng)用程序?？焖贊B透測試通常只能發(fā)現(xiàn)明顯的安全漏洞，而往往會遺漏比較細(xì)微、需要時間和耐心來發(fā)現(xiàn)的漏洞2023/1/45：資源與時間限制由于獨立、一次性開發(fā)的影響，許多Web應(yīng)用536：技術(shù)上強其所難Web應(yīng)用程序使用的許多核心技術(shù)出現(xiàn)于與目前十分不同的萬維網(wǎng)（WWW）早期階段，從那以后，其功能已經(jīng)遠(yuǎn)遠(yuǎn)超越最初的設(shè)想。例如，在許多基于Ajax的應(yīng)用程序中使用Javascript進行數(shù)據(jù)傳輸。隨著對Web應(yīng)用程序功能要求的變化，用于執(zhí)行這種功能的技術(shù)已經(jīng)遠(yuǎn)遠(yuǎn)落后于發(fā)展要求，而開發(fā)人員還是沿用原有的技術(shù)來滿足新的需求。因此，這種做法造成的安全漏洞與無法預(yù)料的負(fù)面影響也就不足為奇了2023/1/46：技術(shù)上強其所難Web應(yīng)用程序使用的許多核心技術(shù)出現(xiàn)于與目54新的安全邊界在Web應(yīng)用程序出現(xiàn)之前，主要在網(wǎng)絡(luò)邊界上抵御外部攻擊。保護這個邊界需要對其提供的服務(wù)進行強化、打補丁，并在用戶訪問之間設(shè)置防火墻。Web應(yīng)用程序改變了這一切。用戶要訪問應(yīng)用程序，邊界防火墻必須允許其通過HTTP/S連接內(nèi)部服務(wù)器；應(yīng)用程序要實現(xiàn)其功能，必須允許其連接服務(wù)器以支持后端系統(tǒng)，如數(shù)據(jù)庫、大型主機以及金融與后勤系統(tǒng)。這些系統(tǒng)通常處于組織運營的核心部分，并由幾層網(wǎng)絡(luò)級防御保護2023/1/4新的安全邊界在Web應(yīng)用程序出現(xiàn)之前，主要在網(wǎng)絡(luò)邊界上抵御外55新的安全邊界如果Web應(yīng)用程序存在漏洞，那么公共互聯(lián)網(wǎng)上的攻擊者只需從Web瀏覽器提交專門設(shè)計的數(shù)據(jù)就可攻破組織的核心后端系統(tǒng)。這些數(shù)據(jù)會像傳送至Web應(yīng)用程序的正常、良性數(shù)據(jù)流一樣，穿透組織的所有網(wǎng)絡(luò)防御2023/1/4新的安全邊界如果Web應(yīng)用程序存在漏洞，那么公共互聯(lián)網(wǎng)上的攻56新的安全邊界Web應(yīng)用程序的廣泛應(yīng)用使得典型組織的安全邊界發(fā)生了變化。部分安全邊界仍舊關(guān)注防火墻與防御主機。但大部分安全邊界更加關(guān)注組織所使用的Web應(yīng)用程序。Web應(yīng)用程序接收用戶輸入的方式多種多樣，將這些數(shù)據(jù)傳送至敏感后端系統(tǒng)的方式也多種多樣，這些都是一系列攻擊的潛在關(guān)口，因此必須在應(yīng)用程序內(nèi)部執(zhí)行防御措施以阻擋這些攻擊。即使某個Web應(yīng)用程序的某一行代碼存在缺陷，也會使組織的內(nèi)部系統(tǒng)易于遭受攻擊。2023/1/4新的安全邊界Web應(yīng)用程序的廣泛應(yīng)用使得典型組織的安全邊界發(fā)57新的安全邊界Web應(yīng)用程序安全邊界發(fā)生變化的另一原因，在于用戶本身在訪問一個易受攻擊的應(yīng)用程序時面臨的威脅。惡意攻擊者可能會利用一個良性但易受攻擊的Web應(yīng)用程序攻擊訪問它的用戶。如果用戶位于企業(yè)網(wǎng)內(nèi)部，攻擊者可能會控制用戶的瀏覽器，并從用戶的可信位置向本地網(wǎng)絡(luò)發(fā)動攻擊。如果攻擊者心存惡意，他不需要用戶的任何合作，就可以代表用戶執(zhí)行任何行為。2023/1/4新的安全邊界Web應(yīng)用程序安全邊界發(fā)生變化的另一原因，在于用58新的安全邊界網(wǎng)管清楚如何防止其用戶訪問惡意的Web站點，終端用戶也逐漸意識到這種威脅。但是，鑒于Web應(yīng)用程序漏洞的本質(zhì)，與一個全然惡意的Web站點相比，易受攻擊的應(yīng)用程序至少給用戶及其組織帶來了一種威脅因此，新的安全邊界要求應(yīng)用程序所有人承擔(dān)保護其用戶的責(zé)任，使他們免受通過應(yīng)用程序傳送的攻擊2023/1/4新的安全邊界網(wǎng)管清楚如何防止其用戶訪問惡意的Web站點，終端59Web應(yīng)用安全的未來雖然經(jīng)過十幾年的廣泛應(yīng)用，目前互聯(lián)網(wǎng)上的Web應(yīng)用程序依然充滿漏洞。在了解Web應(yīng)用程序面臨的安全威脅以及如何有效應(yīng)對這些威脅方面，整個行業(yè)尚未形成成熟的意識。目前幾乎沒有跡象表明上述問題能夠在不遠(yuǎn)的將來得到解決2023/1/4Web應(yīng)用安全的未來雖然經(jīng)過十幾年的廣泛應(yīng)用，目前互聯(lián)網(wǎng)上的60Web應(yīng)用安全的未來Web應(yīng)用程序安全形勢的細(xì)節(jié)并非是靜止不變的盡管SQL注入等熟悉的傳統(tǒng)漏洞還在不斷出現(xiàn)，但已不是主要問題。而且，現(xiàn)有的漏洞也變得更難以發(fā)現(xiàn)和利用。幾年前只需使用瀏覽器就能夠輕易探測與利用的小漏洞，現(xiàn)在需要花費大量精力開發(fā)先進技術(shù)來發(fā)現(xiàn)。2023/1/4Web應(yīng)用安全的未來Web應(yīng)用程序安全形勢的細(xì)節(jié)并非是靜止不61Web應(yīng)用安全的未來Web應(yīng)用程序安全的另一個突出趨勢為：攻擊目標(biāo)已由傳統(tǒng)的服務(wù)器端應(yīng)用程序轉(zhuǎn)向其他用戶應(yīng)用程序。后一類攻擊仍然需要利用應(yīng)用程序本身的缺陷，但這類攻擊一般要求與其他用戶進行某種形式的交互，以達(dá)到破壞用戶與易受攻擊的應(yīng)用程序之間交易的目的。其他軟件安全領(lǐng)域也同樣存在這種趨勢。隨著安全威脅意識的增強，服務(wù)器端存在的缺陷首先為人們所理解并得到解決，從而可以在進一步的研究過程中將注意力集中在客戶端。2023/1/4Web應(yīng)用安全的未來Web應(yīng)用程序安全的另一個突出趨勢為：攻62Web應(yīng)用安全的未來最近的各種技術(shù)趨勢已經(jīng)開始對Web應(yīng)用產(chǎn)生變化，對這些流行趨勢存在著相當(dāng)?shù)妮浾撜`導(dǎo)，其中最突出的是：Web2.0-該術(shù)語指的是大量使用允許用戶生成內(nèi)容和信息共享的功能（UGC），并通過使用各種技術(shù)來廣泛支持這些功能，包括異步HTTP請求和跨域整合等云計算-該術(shù)語是指對系列技術(shù)的各個部分更多地利用外部服務(wù)提供商，包括應(yīng)用軟件，應(yīng)用平臺，Web服務(wù)器軟件，數(shù)據(jù)庫，硬件等。它也指在托管環(huán)境里增加使用虛擬技術(shù)2023/1/4Web應(yīng)用安全的未來最近的各種技術(shù)趨勢已經(jīng)開始對Web應(yīng)用產(chǎn)63Web應(yīng)用安全的未來像技術(shù)的大多數(shù)變化一樣，這些趨勢帶來了與已知攻擊不同的新型攻擊。盡管有炒作的成分，所提出的問題也不盡是像他們最初出現(xiàn)的那樣充滿革命性。隨著課程的進展，我們將結(jié)合其他流行趨勢來研究這些安全問題2023/1/4Web應(yīng)用安全的未來像技術(shù)的大多數(shù)變化一樣，這些趨勢帶來了與64Web應(yīng)用安全的未來盡管Web應(yīng)用發(fā)生了這些變化，一些“傳統(tǒng)的”漏洞并未有消失的跡象。它們依然像Web誕生的初期那樣不時出現(xiàn)。這包括業(yè)務(wù)邏輯缺陷，不完善的訪問控制以及其他設(shè)計問題。2023/1/4Web應(yīng)用安全的未來盡管Web應(yīng)用發(fā)生了這些變化，一些“傳統(tǒng)65小結(jié)短短幾年時間，萬維網(wǎng)已由純粹的靜態(tài)信息倉庫發(fā)展為功能強大的應(yīng)用程序，能夠處理敏感的數(shù)據(jù)并執(zhí)行用于輸出實際結(jié)果的高度功能化的應(yīng)用程序。在這個發(fā)展過程中，多種因素造成了當(dāng)前絕大多數(shù)Web應(yīng)用程序所面臨的安全保護不足的狀況多數(shù)應(yīng)用程序都面臨一個核心安全問題，即用戶可提交任意輸入。用戶與應(yīng)用程序交互的每一個方面都可能是惡意的，而且在未能證明其并無惡意之前應(yīng)該被認(rèn)定為是惡意的。如果這個問題處理不當(dāng)，應(yīng)用程序就有可能受到各種形式的攻擊2023/1/4小結(jié)短短幾年時間，萬維網(wǎng)已由純粹的靜態(tài)信息倉庫發(fā)展為功能強大66小結(jié)當(dāng)前Web應(yīng)用程序安全狀況的所有證據(jù)表明，這個問題尚未得到很好的解決。而且不管是對部署Web應(yīng)用程序的組織還是對訪問它們的用戶而言，針對Web應(yīng)用程序的攻擊都是一個嚴(yán)重的威脅。2023/1/4小結(jié)當(dāng)前Web應(yīng)用程序安全狀況的所有證據(jù)表明，這個問題尚未得67Web應(yīng)用安全技術(shù)WebApplication(In)security2023/1/4Web應(yīng)用安全技術(shù)WebApplication(In)s68戴銀濤

?daiytbit@本課程涵蓋Web核心技術(shù)，如HTTP、客戶與服務(wù)器端技術(shù)、數(shù)據(jù)編碼等；涉及Web應(yīng)用的主要核心功能，如客戶端控件、會話管理、訪問控制、應(yīng)用程序邏輯與體系架構(gòu)、Web服務(wù)器等；詳細(xì)分析各種類型的漏洞，如代碼注入、路徑遍歷、跨站點腳本、重定向攻擊、跨站點請求偽造、會話劫持、會話固定、緩沖區(qū)溢出、整數(shù)漏洞、格式化漏洞等2023/1/4戴銀濤?daiytbit@本課程涵蓋W69Web應(yīng)用安全互聯(lián)網(wǎng)的確是人類歷史上最偉大的發(fā)明之一，它徹底地改變了人們的工作和生活?，F(xiàn)在，可以毫不懷疑的說，人類生活的各個方面都已經(jīng)和互聯(lián)網(wǎng)息息相關(guān)。2023/1/4Web應(yīng)用安全互聯(lián)網(wǎng)的確是人類歷史上最偉大的發(fā)明之一，它徹底70Web應(yīng)用安全互聯(lián)網(wǎng)最引人矚目的部分就是各式各樣的Web應(yīng)用，它們使現(xiàn)實世界中的形形色色的業(yè)務(wù)都搬到了網(wǎng)絡(luò)上，人們可以足不出戶地購物、娛樂、處理各種日常事務(wù)。IT人可以自豪地夸耀自己引領(lǐng)了業(yè)務(wù)，超越商業(yè)界創(chuàng)造了一種生產(chǎn)、銷售、服務(wù)的新形式2023/1/4Web應(yīng)用安全互聯(lián)網(wǎng)最引人矚目的部分就是各式各樣的Web應(yīng)用71Web應(yīng)用安全比如今天的商業(yè)活動依靠Web生存已經(jīng)是無法回避的事實。從銀行到書店，從拍賣到游戲，大部分公司都在Web上進行交易如美國接近50%的音樂零售業(yè)業(yè)務(wù)發(fā)生在網(wǎng)上，2010年網(wǎng)游中的虛擬交易市場超過15億美元，美國超過一半的成年人使用互聯(lián)網(wǎng)進行自己的銀行業(yè)務(wù)2023/1/4Web應(yīng)用安全比如今天的商業(yè)活動依靠Web生存已經(jīng)是無法回避72Web應(yīng)用安全隨著智能手機的流行，現(xiàn)在大部分的網(wǎng)絡(luò)商務(wù)活動對消費者來說在任何時間，任何地點都可以進行。不管如何估算，Web上的業(yè)務(wù)都是經(jīng)濟的重要組成部分，而且正在以前所未有的速度發(fā)展2023/1/4Web應(yīng)用安全隨著智能手機的流行，現(xiàn)在大部分的網(wǎng)絡(luò)商務(wù)活動對73Web應(yīng)用安全但同時，承載著豐富功能與用途的Web應(yīng)用程序也成為惡意用戶與黑客等攻擊者的主要攻擊目標(biāo)。盡管近年來不斷發(fā)展的平臺技術(shù)在安全上有了巨大的進步，但是對于擴張如此迅速的Web應(yīng)用所面對的越來越廣泛的威脅仍然無能為力。2023/1/4Web應(yīng)用安全但同時，承載著豐富功能與用途的Web應(yīng)用程序也74Web應(yīng)用安全互聯(lián)網(wǎng)架構(gòu)本身的特點，決定了Web安全不再只是通過防火墻、防病毒軟件和安全補丁就能完成的任務(wù)而是涉及到開發(fā)人員，安全管理人員以及整個企業(yè)的所有部門乃至網(wǎng)上所有用戶的巨大項目。因此，如何確保Web應(yīng)用的安全已成為政府、企業(yè)，特別是銀行等金融機構(gòu)所面臨的主要挑戰(zhàn)2023/1/4Web應(yīng)用安全互聯(lián)網(wǎng)架構(gòu)本身的特點，決定了Web安全不再只是75Web應(yīng)用安全古語云：知己知彼，百戰(zhàn)不殆。只有充分了解攻擊者所采用的攻擊方法以及Web應(yīng)用程序中存在的可供攻擊者利用的各種漏洞，我們才能針對這些漏洞采取行之有效的防御方法。2023/1/4Web應(yīng)用安全古語云：知己知彼，百戰(zhàn)不殆。2022/12/276這里的"Web應(yīng)用程序",是指通過使用Web瀏覽器與Web服務(wù)器進行通信,從而加以訪問的應(yīng)用程序如前所述，Web應(yīng)用安全無疑是當(dāng)務(wù)之急，對相關(guān)各方而言，這一問題都至關(guān)重要2023/1/4這里的"Web應(yīng)用程序",是指通過使用Web瀏覽器與Web服77這里的各個方面包括：互聯(lián)網(wǎng)業(yè)務(wù)收入日益增長的公司向Web程序托付敏感信息的用戶通過竊取支付信息或入侵銀行賬戶盜竊資金的犯罪分子2023/1/4這里的各個方面包括：2022/12/2778Web應(yīng)用發(fā)展歷程在互聯(lián)網(wǎng)發(fā)展初期，萬維網(wǎng)（WorldWideWeb）僅由Web站點構(gòu)成，這些站點基本上都是包含靜態(tài)文檔的信息庫。隨后人們發(fā)明了Web瀏覽器，通過它來提取和顯示這些文檔。2023/1/4Web應(yīng)用發(fā)展歷程在互聯(lián)網(wǎng)發(fā)展初期，萬維網(wǎng)（WorldWi792023/1/42022/12/2780此時相關(guān)的信息流僅由服務(wù)器向瀏覽器單向傳送。多數(shù)站點并不驗證用戶的合法性，因為根本沒有必要這樣做所有用戶同等對待，收取同樣的信息2023/1/4此時相關(guān)的信息流僅由服務(wù)器向瀏覽器單向傳送。2022/12/81創(chuàng)建一個Web站點所帶來的安全威脅主要與Web服務(wù)器的軟件漏洞有關(guān)攻擊者入侵Web站點并不能獲取任何敏感信息，因為服務(wù)器上的保存的所有信息都可以公開查看此時入侵者往往會修改服務(wù)器上的文件以歪曲Web站點的內(nèi)容，或利用服務(wù)器的存儲容量和帶寬傳播“非法軟件”2023/1/4創(chuàng)建一個Web站點所帶來的安全威脅主要與Web服務(wù)器的軟件漏82如今的WWW與早期的已經(jīng)完全不同，Web上的大多數(shù)站點實際是應(yīng)用程序。它們功能強大，在服務(wù)器和瀏覽器之間進行雙向信息傳送。2023/1/4如今的WWW與早期的已經(jīng)完全不同，Web上的大多數(shù)站點實際是832023/1/42022/12/2784這些應(yīng)用程序支持注冊與登錄、金融交易、搜索以及用戶創(chuàng)作的內(nèi)容用戶獲取的內(nèi)容以動態(tài)形式生成，并且往往能滿足每個用戶的特殊要求。它們處理的許多信息屬于私密和高度敏感的信息。2023/1/4這些應(yīng)用程序支持注冊與登錄、金融交易、搜索以及用戶創(chuàng)作的內(nèi)容85所以安全問題至關(guān)重要如果用戶認(rèn)為Web應(yīng)用會將他們的信息泄露給未授權(quán)的訪問者，他們就會拒絕使用該程序2023/1/4所以安全問題至關(guān)重要2022/12/2786Web應(yīng)用帶來了新的重大安全威脅。應(yīng)用不同，所包含的漏洞也各不相同許多應(yīng)用是由開發(fā)人員獨立開發(fā)的，還有許多開發(fā)人員幾乎對他們所編寫的代碼可能引起的安全問題一無所知。2023/1/4Web應(yīng)用帶來了新的重大安全威脅。應(yīng)用不同，所包含的漏洞也各87為了實現(xiàn)核心功能，Web應(yīng)用通常需要與內(nèi)部計算機系統(tǒng)建立連接，這些系統(tǒng)中保存著高度敏感的數(shù)據(jù)，并能執(zhí)行強大的業(yè)務(wù)功能十年前，如果需要轉(zhuǎn)賬必須去銀行，讓銀行職員幫你完成交易今天，你可以訪問銀行的Web應(yīng)用程序，自己完成轉(zhuǎn)賬交易從而進入Web應(yīng)用程序的攻擊者能夠竊取個人信息，進行金融欺詐或執(zhí)行針對其他用戶的惡意行為2023/1/4為了實現(xiàn)核心功能，Web應(yīng)用通常需要與內(nèi)部計算機系統(tǒng)建立連接88Web應(yīng)用的常見功能創(chuàng)建Web應(yīng)用的目的是執(zhí)行可以在線完成的任何有用功能。常見的一些功能有購物（Amazon）社交網(wǎng)絡(luò)（Facebook）銀行服務(wù)（網(wǎng)上銀行）Web搜索（Google）博客，微博（Blog，Twitter）Web郵件（Gmail）交互信息（Wikipedia）2023/1/4Web應(yīng)用的常見功能創(chuàng)建Web應(yīng)用的目的是執(zhí)行可以在線完成的89除了可以使用計算機瀏覽器訪問外，同時還可以被智能手機或平板電腦訪問的應(yīng)用正快速增長大多數(shù)移動應(yīng)用或使用瀏覽器訪問，或由專門開發(fā)的客戶端使用基于HTTP的API與服務(wù)器通信此時不同的用戶平臺和訪問界面共享該應(yīng)用的功能和數(shù)據(jù)2023/1/4除了可以使用計算機瀏覽器訪問外，同時還可以被智能手機或平板電90除了上述的公共互聯(lián)網(wǎng)外，許多組織內(nèi)部也廣泛采用Web應(yīng)用執(zhí)行一些關(guān)鍵業(yè)務(wù)，許多程序設(shè)計高度敏感數(shù)據(jù)和功能：HR（人力資源）應(yīng)用允許用戶訪問收入信息，給出和得到工作表現(xiàn)反饋，管理招聘和獎懲程序。作為關(guān)鍵設(shè)備的管理界面如Web服務(wù)器和Mail服務(wù)器，用戶工作站以及虛擬機管理。協(xié)同軟件，用于共享文件，管理工作流和項目，并跟蹤問題。這些類型的功能往往經(jīng)常涉及重要的安全和治理問題，并且組織完全依靠內(nèi)置的Web應(yīng)用來管理和控制。2023/1/4除了上述的公共互聯(lián)網(wǎng)外，許多組織內(nèi)部也廣泛采用Web應(yīng)用執(zhí)行91商業(yè)應(yīng)用，如企業(yè)資源計劃（ERP）軟件，以前使用專有的（厚）客戶端應(yīng)用程序訪問，現(xiàn)在則可以使用web瀏覽器訪問軟件服務(wù)如電子郵件，原本需要一個單獨的郵件客戶端，現(xiàn)在可以通過諸如OutlookWebAccess來進行Web訪問。傳統(tǒng)的桌面辦公應(yīng)用，如文字處理器和Excel表等已遷移到Web應(yīng)用程序服務(wù)，如谷歌Apps和微軟OfficeLive。2023/1/4商業(yè)應(yīng)用，如企業(yè)資源計劃（ERP）軟件，以前使用專有的（厚）92在所有這些例子中，被視為“內(nèi)部”的應(yīng)用越來越多的被組織轉(zhuǎn)移到外部服務(wù)提供商實行外部托管以削減成本。在這些所謂的“云計算”解決方案中，組織內(nèi)部的關(guān)鍵業(yè)務(wù)功能和數(shù)據(jù)被廣泛暴露在潛在的攻擊者面前，并且組織越來越依賴于外部的，完全在他們的控制之外的整體安全防御體系。2023/1/4在所有這些例子中，被視為“內(nèi)部”的應(yīng)用越來越多的被組織轉(zhuǎn)移93這樣的時代正在快速迫近：大多數(shù)計算機用戶所需要的唯一客戶端就是一個Web瀏覽器用戶使用一組共享的協(xié)議和技術(shù)就能實現(xiàn)各種業(yè)務(wù)功能，但隨之也會得到不同范圍的共同安全漏洞2023/1/4這樣的時代正在快速迫近：2022/12/2794Web應(yīng)用的優(yōu)點Web應(yīng)用越來越流行的原因顯而易見，若干技術(shù)因素以及與主要的商業(yè)動機相結(jié)合，從而引發(fā)了互聯(lián)網(wǎng)使用方式上的重大變革HTTP是用于訪問互聯(lián)網(wǎng)的核心通信協(xié)議，它是輕量級的，無需連接。這一點提供了對通信錯誤的容錯性。應(yīng)用HTTP，許多傳統(tǒng)client-server（CS架構(gòu)）應(yīng)用程序中的服務(wù)器無需向每一個用戶開放網(wǎng)絡(luò)連接。HTTP還可以通過代理和其它協(xié)議傳輸，允許在任何網(wǎng)絡(luò)配置下進行安全通信2023/1/4Web應(yīng)用的優(yōu)點Web應(yīng)用越來越流行的原因顯而易見，若干技術(shù)95Web應(yīng)用的優(yōu)點每個Web用戶都在其計算機或智能移動終端上安裝了瀏覽器，Web應(yīng)用為瀏覽器動態(tài)部署用戶界面，不再像以前那樣需要發(fā)布和管理單獨的客戶端軟件，界面的變化只需在服務(wù)器上更改一次，即可立即生效。如今的瀏覽器功能非常強大，可構(gòu)建內(nèi)容豐富并且令人滿意的用戶界面。Web界面使用標(biāo)準(zhǔn)導(dǎo)航和輸入控件，可保證用戶即時熟悉這些功能，而不需要學(xué)習(xí)使用各種程序。應(yīng)用程序可通過客戶端腳本功能將部分功能處理交由客戶端完成，必要時，可使用厚客戶端組件任意擴展瀏覽器的功能。flash，ActiveX。。。2023/1/4Web應(yīng)用的優(yōu)點每個Web用戶都在其計算機或智能移動終端上安96Web應(yīng)用的優(yōu)點用于開發(fā)Web應(yīng)用的核心技術(shù)和語言相對簡單。即使是初學(xué)者，也可以使用現(xiàn)有的各種平臺和開發(fā)工具，開發(fā)出強大的應(yīng)用程序，還有大量開源代碼和其它資源可供整合到定制的應(yīng)用程序中2023/1/4Web應(yīng)用的優(yōu)點用于開發(fā)Web應(yīng)用的核心技術(shù)和語言相對簡單。97Web應(yīng)用安全與任何新興技術(shù)一樣，Web應(yīng)用程序也會帶來一系列新的安全方面的漏洞。這些常見的缺陷也在“與時俱進”，出現(xiàn)了一些開發(fā)人員在開發(fā)現(xiàn)有應(yīng)用程序時未曾考慮到的攻擊方式。由于安全意識的加強，一些問題已經(jīng)得到解決。但新技術(shù)的使用會引入新的漏洞。Web瀏覽器自身軟件的改進基本上消除了某些缺陷2023/1/4Web應(yīng)用安全與任何新興技術(shù)一樣，Web應(yīng)用程序也會帶來一系98Web應(yīng)用安全對Web應(yīng)用程序最嚴(yán)重的襲擊事件是那些暴露敏感數(shù)據(jù)或獲得了不受限制地訪問應(yīng)用程序運行的后端系統(tǒng)的權(quán)限。此類倍受矚目的危機繼續(xù)頻頻發(fā)生。另外，對于許多組織來說，任何攻擊導(dǎo)致系統(tǒng)宕機是一個重大事件。可使用應(yīng)用程序級的拒絕服務(wù)攻擊來達(dá)到過去傳統(tǒng)的針對基礎(chǔ)設(shè)施所實施的資源枯竭攻擊相同的結(jié)果。但現(xiàn)在實施這些攻擊的技術(shù)和目的更加微妙，比如他們可能被用于在金融領(lǐng)域的服務(wù)交易，游戲，網(wǎng)上招標(biāo)，機票預(yù)訂等領(lǐng)域中來中斷特殊的用戶或服務(wù)來獲得針對同行的競爭優(yōu)勢。2023/1/4Web應(yīng)用安全對Web應(yīng)用程序最嚴(yán)重的襲擊事件是那些暴露敏感99Web應(yīng)用安全在整個發(fā)展過程中，不時有知名的網(wǎng)站被攻破的新聞報道。情況似乎沒有好轉(zhuǎn)，也沒有跡象表明這些安全問題已經(jīng)得到解決可以說，如今的Web應(yīng)用安全領(lǐng)域是攻擊者與計算機資源和數(shù)據(jù)防御者之間最重要的戰(zhàn)場，在可預(yù)見的將來，這種情況可能仍將持續(xù)2023/1/4Web應(yīng)用安全在整個發(fā)展過程中，不時有知名的網(wǎng)站被攻破的新聞100“本站點是安全的”目前人們已經(jīng)普遍認(rèn)識到，對Web應(yīng)用而言，安全確實是個問題。瀏覽某些網(wǎng)站時，他們會向你保證該網(wǎng)站確實是安全的。大多數(shù)網(wǎng)站會強調(diào)他們是安全的，因為他們采用了SSL技術(shù)，如：“本站點絕對安全，因為我們使用了128位安全套階層（SecureSocketLayer,SSL)技術(shù)設(shè)計，可防止未授權(quán)用戶查看您的任何信息。您可以放心使用本站點，我們絕對保證您的數(shù)據(jù)安全?！闭军c常常要求用戶核實站點證書，并想法設(shè)法讓用戶相信其所采用的先進加密協(xié)議無懈可擊，從而說服用戶放心地向其提供個人信息2023/1/4“本站點是安全的”目前人們已經(jīng)普遍認(rèn)識到，對Web應(yīng)用而言，101越來越多的組織還舉出他們遵守支付卡行業(yè)（PCI）標(biāo)準(zhǔn)，以保證用戶，他們是安全的。例如：我們對安全非常重視，每天掃描以確保我們的網(wǎng)站保持PCI兼容從而免受黑客攻擊。你可以在下面的標(biāo)志下看到最新的掃描日期，從而保證我們的網(wǎng)站是安全的。2023/1/4越來越多的組織還舉出他們遵守支付卡行業(yè)（PCI）標(biāo)準(zhǔn)，以保證102事實上，大多數(shù)Web應(yīng)用并不安全，盡管有SSL技術(shù)以及常規(guī)PCI掃描被廣泛使用。下面是對2007-2011年間測試的Web應(yīng)用受一些常見類型的漏洞影響的比例：2023/1/4事實上，大多數(shù)Web應(yīng)用并不安全，盡管有SSL技術(shù)以及常規(guī)P103常見Web應(yīng)用漏洞不完善的身份驗證措施（62%）：這類漏洞包括應(yīng)用程序登陸機制中的各種缺陷，可能會使攻擊者破解保密性不強的密碼，暴力猜解或完全避開登陸。不完善的訪問控制措施（71%）：這一類問題涉及的情況包括：應(yīng)用程序無法為數(shù)據(jù)和功能提供全面保護，攻擊者可以查看其他用戶保存在服務(wù)器中的敏感信息，或者執(zhí)行特權(quán)操作。SQL注入（32%）：攻擊者可通過這一漏洞提交專門設(shè)計的輸入，干擾應(yīng)用程序與后端數(shù)據(jù)庫的交互活動。攻擊者能從應(yīng)用程序中提取任何數(shù)據(jù)、破壞其業(yè)務(wù)邏輯結(jié)構(gòu)，或者在數(shù)據(jù)庫服務(wù)器上執(zhí)行命令2023/1/4常見Web應(yīng)用漏洞不完善的身份驗證措施（62%）：2022/104常見Web應(yīng)用漏洞信息泄露（78%）：這一問題包括應(yīng)用程序泄露敏感信息，攻擊者利用這些敏感信息通過有缺陷的錯誤處理或其他行為攻擊應(yīng)用程序。跨站腳本（94%）：攻擊者可以利用該漏洞攻擊應(yīng)用程序的其他用戶、訪問其信息、代表他們執(zhí)行未授權(quán)操作，或者向其發(fā)起其他攻擊。2023/1/4常見Web應(yīng)用漏洞信息泄露（78%）：2022/12/271052023/1/42022/12/27106SSL協(xié)議SSL協(xié)議，英文SecureSocketLayerProtocol，中文稱為安全套接層協(xié)議SSL協(xié)議最初由Internet的應(yīng)用先驅(qū)Netscape公司1995年設(shè)計開發(fā)，該協(xié)議是一種利用公共密鑰技術(shù)的工業(yè)標(biāo)準(zhǔn)，目前已廣泛應(yīng)用于互聯(lián)網(wǎng)，成為事實上的工業(yè)標(biāo)準(zhǔn)，主流瀏覽器及許多服務(wù)器都支持SSL協(xié)議目的是通過在收發(fā)雙方建立安全通道來提高應(yīng)用程序間交換數(shù)據(jù)的安全性，從而實現(xiàn)瀏覽器和服務(wù)器（通常是Web服務(wù)器）之間的安全通信2023/1/4SSL協(xié)議SSL協(xié)議，英文SecureSocketLay107凡是支持送SSL協(xié)議的網(wǎng)頁，都會以https://作為URL的開頭客戶在與服務(wù)器進行SSL會話中，如果使用的是微軟的IE瀏覽器，可以在右下方狀態(tài)欄中看到一只金黃色的鎖形安全標(biāo)志，用鼠標(biāo)雙擊該標(biāo)志，就會彈出服務(wù)器證書信息一臺支持SSL的典型網(wǎng)絡(luò)主機接收SSL連接的默認(rèn)端口是4432023/1/4凡是支持送SSL協(xié)議的網(wǎng)頁，都會以https://作為URL108但SSL并不能抵御直接針對某個應(yīng)用程序的服務(wù)器或客戶組件的攻擊，而許多成功的攻擊都恰恰屬于這種類型。特別需要指出的是，SSL并不能阻止上述任何漏洞或許多其他使應(yīng)用程序受到威脅的漏洞，無論是否使用SSL，大多數(shù)Web應(yīng)用程序仍然存在安全漏洞2023/1/4但SSL并不能抵御直接針對某個應(yīng)用程序的服務(wù)器或客戶組件的攻109核心安全問題：用戶可提交任意輸入與許多大量使用的應(yīng)用程序一樣，為確保安全，Web應(yīng)用程序必須解決一個根本問題。由于應(yīng)用程序無法控制用戶，用戶幾乎可向服務(wù)器端應(yīng)用程序提交任意輸入應(yīng)用程序必須假設(shè)所有輸入的信息都是惡意的輸入，并必須采取措施確保攻擊者無法使用專門設(shè)計的輸入破壞應(yīng)用程序、干擾業(yè)務(wù)邏輯或非法訪問數(shù)據(jù)及功能2023/1/4核心安全問題：用戶可提交任意輸入與許多大量使用的應(yīng)用程序一樣110核心安全問題：用戶可提交任意輸入這個核心問題表現(xiàn)在許多方面：用戶可干預(yù)客戶與服務(wù)器間傳送的所有數(shù)據(jù)，包括請求參數(shù)，cookie和HTTP信息頭?？奢p易避開客戶端執(zhí)行的任何安全控件，如輸入確認(rèn)驗證。用戶可按任何順序發(fā)送請求，并可在應(yīng)用程序要求之外的不同階段不止一次提交或根本不提交參數(shù)。用戶的操作可能與開發(fā)人員對用戶和應(yīng)用程序交互方式作出的任何假設(shè)完全不同用戶并不限于僅使用一種Web瀏覽器訪問應(yīng)用程序。大量各種各樣的工具可以協(xié)助攻擊Web應(yīng)用程序，這些工具既可整合在瀏覽器中，也可獨立于瀏覽器運作。這些工具能夠提出普通瀏覽器無法提交的請求，并能夠迅速生成大量的請求，查找和利用安全問題達(dá)到自己的目的。2023/1/4核心安全問題：用戶可提交任意輸入這個核心問題表現(xiàn)在許多方面：111核心安全問題：用戶可提交任意輸入絕大多數(shù)針對Web應(yīng)用程序的攻擊都涉及向服務(wù)器提交輸入，旨在引起一些應(yīng)用程序設(shè)計者無法預(yù)料或不希望出現(xiàn)的事件。以下例子說明為實現(xiàn)這種目的而提交的專門設(shè)計的輸入：更改以隱藏的HTML表單字段提交的產(chǎn)品價格，以更低廉的價格欺詐性地購買東西修改在HTTPcookies中傳送的會話令牌，劫持另一個驗證用戶的會話利用應(yīng)用程序處理過程中的邏輯錯誤刪除某些正常提交的參數(shù)改變由后端數(shù)據(jù)庫處理的某個輸入，從而注入一個惡意數(shù)據(jù)庫查詢以訪問敏感數(shù)據(jù)。2023/1/4核心安全問題：用戶可提交任意輸入絕大多數(shù)針對Web應(yīng)用程序的112核心安全問題：用戶可提交任意輸入毋庸置疑，SSL無法阻止攻擊者向服務(wù)器提交專門設(shè)計的輸入。應(yīng)用程序使用SSL僅僅表示網(wǎng)絡(luò)上的其他用戶無法查看或修改攻擊者傳送的數(shù)據(jù)。因為攻擊者控制著SSL通道的終端，能夠通過這條通道向服務(wù)器傳送任何內(nèi)容。如果前面提到的任何攻擊成功實現(xiàn)，那么不論其如何聲稱其站點如何安全，該應(yīng)用程序都很容易受到攻擊2023/1/4核心安全問題：用戶可提交任意輸入毋庸置疑，SSL無法阻止攻擊113關(guān)鍵問題因素任何情況下，如果一個應(yīng)用程序必須接受并處理可能為惡意的未經(jīng)驗證的數(shù)據(jù)，就會產(chǎn)生Web應(yīng)用程序面臨的核心安全問題但是，對Web應(yīng)用程序而言，幾種因素的結(jié)合使得問題更加嚴(yán)重，這也解釋了當(dāng)今互聯(lián)網(wǎng)上許多Web應(yīng)用無法很好解決這一問題的原因。2023/1/4關(guān)鍵問題因素任何情況下，如果一個應(yīng)用程序必須接受并處理可能為1141：不成熟的安全意識與網(wǎng)絡(luò)和操作系統(tǒng)這些發(fā)展時間更長的領(lǐng)域相比，人們對Web應(yīng)用安全問題的意識還遠(yuǎn)遠(yuǎn)不夠成熟。雖然大多數(shù)IT安全人員掌握了相當(dāng)多的網(wǎng)絡(luò)安全與主機強化基礎(chǔ)知識，但他們對與Web應(yīng)用安全有關(guān)的許多核心概念仍然不甚了解，甚至存有誤解。即使是經(jīng)驗豐富的Web應(yīng)用程序開發(fā)人員也會經(jīng)常遇到一些對他們而言完全陌生的基本缺陷類型2023/1/41：不成熟的安全意識與網(wǎng)絡(luò)和操作系統(tǒng)這些發(fā)展時間更長的領(lǐng)域相1152：獨立開發(fā)大多數(shù)Web應(yīng)用程序都由企業(yè)自己的員工或合作公司獨立開發(fā)。即使應(yīng)用程序采用第三方組件，通常也是使用新代碼將第三方組件進行自定義或拼湊在一起。在這種情況下，每個應(yīng)用程序都各不相同，并且可能包含其獨有的缺陷。這種情形與組織購買業(yè)內(nèi)一流產(chǎn)品并按照行業(yè)標(biāo)準(zhǔn)指南安裝的典型基礎(chǔ)架構(gòu)部署形成鮮明對照。2023/1/42：獨立開發(fā)大多數(shù)Web應(yīng)用程序都由企業(yè)自己的員工或合作公司1163：欺騙性的簡化使用今天的Web應(yīng)用程序和開發(fā)工具，一個程序員新手也可能在短期內(nèi)從頭開始創(chuàng)建一個強大的應(yīng)用程序。但是，在編寫功能性代碼和編寫安全代碼之間存在著巨大的差異。許多有問題的Web應(yīng)用程序也是由善意的個人創(chuàng)建，他們只是缺乏發(fā)現(xiàn)安全問題的知識與經(jīng)驗2023/1/43：欺騙性的簡化使用今天的Web應(yīng)用程序和開發(fā)工具，一個程序1173：欺騙性的簡化近年來的一個突出的趨勢是使用能提供現(xiàn)成的代碼組件的應(yīng)用程序框架來處理眾多共有的功能，如身份驗證，頁面模板，留言板等，然后與常見的后端基礎(chǔ)組件集成。這些框架的例子包括Liferay和AppFuse企業(yè)架構(gòu)等。這些產(chǎn)品使得建立應(yīng)用工作變得快速方便，而且不需要技術(shù)上理解應(yīng)用是如何工作的以及其可能包含的潛在漏洞風(fēng)險。但這同時也意味著許多公司使用相同的架構(gòu)，因而，一旦發(fā)現(xiàn)了某個安全漏洞，將影響許多不相干的應(yīng)用2023/1/43：欺騙性的簡化近年來的一個突出的趨勢是使用能提供現(xiàn)成的代碼1184：迅速發(fā)展的威脅形勢Web應(yīng)用程序攻擊與防御研究發(fā)展相對不成熟，是一個正在蓬勃發(fā)展的領(lǐng)域，其中新概念與威脅出現(xiàn)的速度比傳統(tǒng)的技術(shù)要快得多。在項目開始之初就完全了解了當(dāng)前威脅的開發(fā)團隊，很可能到應(yīng)用程序開發(fā)完成并部署后也會面臨許多未知的威脅2023/1/44：迅速發(fā)展的威脅形勢Web應(yīng)用程序攻擊與防御研究發(fā)展相對不1195：資源與時間限制由于獨立、一次性開發(fā)的影響，許多Web應(yīng)用程序的開發(fā)項目會受到嚴(yán)格的時間與資源限制。通常，設(shè)計或開發(fā)團隊不可能雇用專職的安全專家，而且由于項目進程的拖延，往往要等到項目周期的最后階段才由專家進行安全測試。為了兼顧各種要素，按期開發(fā)出穩(wěn)定而實用的應(yīng)用程序的要求往往使開發(fā)團隊忽視不明顯的安全問題。小型組織一般不愿多花時日評估一個新的應(yīng)用程序。快速滲透測試通常只能發(fā)現(xiàn)明顯的安全漏洞，而往往會遺漏比較細(xì)微、需要時間和耐心來發(fā)現(xiàn)的漏洞2023/1/45：資源與時間限制由于獨立、一次性開發(fā)的影響，許多Web應(yīng)用1206：技術(shù)上強其所難Web應(yīng)用程序使用的許多核心技術(shù)出現(xiàn)于與目前十分不同的萬維網(wǎng)（WWW）早期階段，從那以后，其功能已經(jīng)遠(yuǎn)遠(yuǎn)超越最初的設(shè)想。例如，在許多基于Ajax的應(yīng)用程序中使用Javascript進行數(shù)據(jù)傳輸。隨著對Web應(yīng)用程序功能要求的變化，用于執(zhí)行這種功能的技術(shù)已經(jīng)遠(yuǎn)遠(yuǎn)落后于發(fā)展要求，而開發(fā)人員還是沿用原有的技術(shù)來滿足新的需求。因此，這種做法造成的安全漏洞與無法預(yù)料的負(fù)面影響也就不足為奇了2023/1/46：技術(shù)上強其所難Web應(yīng)用程序使用的許多核心技術(shù)出現(xiàn)于與目121新的安全邊界在Web應(yīng)用程序出現(xiàn)之前，主要在網(wǎng)絡(luò)邊界上抵御外部攻擊。保護這個邊界需要對其提供的服務(wù)進行強化、打補丁，并在用戶訪問之間設(shè)置防火墻。Web應(yīng)用程序改變了這一切。用戶要訪問應(yīng)用程序，邊界防火墻必須允許其通過HTTP/S連接內(nèi)部服務(wù)器；應(yīng)用程序要實現(xiàn)其功能，必須允許其連接服務(wù)器以支持后端系統(tǒng)，如數(shù)據(jù)庫、大型主機