課題28Web應用程序的安全課件

課題二十八Web應用程序的安全網(wǎng)絡(luò)安全運行與維護課題SUBJECT信息教學任務：Web應用程序的安全知識目標：了解Web應用程序的安全威脅，熟悉Web應用程序的安全防范措施，理解SQL注入攻擊的原理，掌握SQL注入攻擊的防御能力目標：能夠進行SQL注入攻擊和防御攻擊重點：Web應用程序的安全防范措施難點：SQL注入攻擊教學方法：演示法、案例教學法、任務驅(qū)動法課堂類型：新授課教具：PC機、教學軟件Web應用程序的安全威脅及其防范SQL注入攻擊SQL注入攻擊的防御一、Web應用程序的安全威脅及其防范Web應用程序的安全威脅排名OWASPTop101代碼注入2不安全的身份認證和會話管理3跨站腳本（XSS）4不安全的直接對象引用5不安全的配置6敏感信息泄露7功能級訪問控制缺失8跨站請求偽造（CSRF）9使用含有已知漏洞的組件10未經(jīng)安全驗證的重定向和轉(zhuǎn)發(fā)表7-1OWASP團隊公布的Top10Web應用程序安全風險（2013版）一、Web應用程序的安全威脅及其防范Web應用程序的安全防范措施在滿足需求的情況下，盡量使用靜態(tài)頁面代替動態(tài)頁面。動態(tài)Web站點盡量使用具有良好安全聲譽和穩(wěn)定技術(shù)支持力量的Web應用軟件包。對用戶輸入的數(shù)據(jù)進行嚴格驗證，對代碼進行安全檢測。操作后臺數(shù)據(jù)庫時，盡量采用視圖、存儲過程等技術(shù)。對Web應用程序的所有訪問請求進行日志記錄和安全審計。二、SQL注入攻擊SQL注入攻擊的原理SQL注入的攻擊原理是向Web應用程序提供的用戶輸入接口（如一個動態(tài)頁面的輸入?yún)?shù)、表單的輸入框，等等）輸入一段精心構(gòu)造的SQL查詢命令，攻擊和利用不完善的輸入驗證機制，使得注入代碼得以執(zhí)行完成非預期的攻擊操作行為。常見的SQL注入漏洞：一類是由于沒有對用戶輸入進行過濾以消除SQL語言中的字符串轉(zhuǎn)義字符另一類是由于不正確的類型處理，沒有對用戶輸入?yún)?shù)進行類型約束的檢查二、SQL注入攻擊SQL注入攻擊的過程二、SQL注入攻擊SQL注入攻擊的步驟（手工注入）判斷環(huán)境，尋找注入點，判斷網(wǎng)站后臺數(shù)據(jù)庫類型根據(jù)注入?yún)?shù)類型，在腦海中重構(gòu)SQL語句的原貌，從而猜測數(shù)據(jù)庫中的表名和列名在表名和列名猜解成功后，再使用SQL語句，得出字段的值二、SQL注入攻擊SQL注入演示實驗軟件工具：明小子注入工具

三、SQL注入攻擊的防御SQL注入攻擊的防御（1）最小權(quán)限原則，如非必要，不要使用sa、dbo等權(quán)限較高的賬戶。（2）對用戶的輸入進行嚴格的檢查，過濾掉一些特殊字符，強制約束數(shù)據(jù)類型、約束輸入長度等。（3）使用存儲過程代替簡單的SQL語句。（4）當SQL運行出錯時，不要把全部的出錯信息全部顯示給用戶，以免泄露一些數(shù)據(jù)庫的信息。三、SQL注入攻擊的防御跨站腳本攻擊XSS工作原理：利用Web應用程序的漏洞，在Web頁面中插入惡意的HTML、JavaScript或其他惡意腳本。當用戶瀏覽該頁面時，客戶端瀏覽器就會解析和執(zhí)行這些代碼，從而造成客戶端用戶信息泄露、客戶端被滲透攻擊等后果?？缯灸_本攻擊的最終目標不是提供服務的Web應用程序，而是使用Web應用程序的用戶。三、SQL注入攻擊的防御跨站腳本攻擊的類型反射型XSS是目前最為普遍的跨站腳本類型；它只是簡單地把用戶在HTTP請求參數(shù)或HTML提交表單中提供的數(shù)據(jù)“反射”給瀏覽器。也稱非持久型XSS典型例子：站點搜索功能存儲型XSS危害最為嚴重的跨站腳本類型。它將用戶輸入的數(shù)據(jù)持久性地“存儲”在Web服務器端，并在一些“正常”頁面中持續(xù)性地顯示，從而能夠影響所有訪問這些頁面的其他用戶。也稱持久性XSS典型例子：博客、留言本、BBS論壇等Web應用程序基于DOM的XSS三、SQL注入攻擊的防御跨站腳本攻擊演示實驗三、SQL注入攻擊的防御跨站腳本攻擊演示實驗小結(jié)SUMMARYWeb