系統(tǒng)安全培訓(xùn)Web安全性

系統(tǒng)安全

——Web安全性2014年7月第一頁(yè)，共三十八頁(yè)。2014中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急年會(huì)資料第二頁(yè)，共三十八頁(yè)。安全性問(wèn)題之一SQL注入什么是SQLInjection:(SQL注入)

就是攻擊者把SQL命令插入到Web表單的輸入域或頁(yè)面請(qǐng)求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。

簡(jiǎn)而言之，是在輸入的數(shù)據(jù)字符串中夾帶SQL指令，在設(shè)計(jì)不良的程序中忽略了檢查，那么在這些夾帶的指令就會(huì)被數(shù)據(jù)庫(kù)服務(wù)器誤認(rèn)為是正常的SQL指令而運(yùn)行，因此招致到破壞第三頁(yè)，共三十八頁(yè)。安全性問(wèn)題之一SQL注入SQLInjection:(SQL注入)SQL注入是最常見的攻擊方式，它的主要原理是：攻擊者通過(guò)改變WEB頁(yè)的參數(shù)，直接將SQL片斷提交到服務(wù)器，并在服務(wù)器端執(zhí)行的過(guò)程。第四頁(yè)，共三十八頁(yè)。安全性問(wèn)題之一SQL注入SQL注入的原因1、在應(yīng)用程序中使用字符串聯(lián)結(jié)方式組合SQL指令2、在應(yīng)用程序鏈接數(shù)據(jù)庫(kù)時(shí)使用權(quán)限過(guò)大的帳號(hào)（例如使用SA）3、在數(shù)據(jù)庫(kù)中開放了不必要但權(quán)力過(guò)大的功能（如，在SQLServer中的的xp_cmdshell延伸預(yù)存程序或是OLEAutomation預(yù)存程序等）4、太過(guò)于信任用戶所輸入的數(shù)據(jù)，未限制輸入的字符數(shù)第五頁(yè)，共三十八頁(yè)。安全性問(wèn)題之一SQL注入SQL注入的危害修改數(shù)據(jù)庫(kù)內(nèi)容刪除其它表竊取數(shù)據(jù)到本地執(zhí)行系統(tǒng)命令，進(jìn)而修改或控制操作系統(tǒng)、破壞硬盤數(shù)據(jù)等特點(diǎn)攻擊耗時(shí)少、危害大第六頁(yè)，共三十八頁(yè)。安全性問(wèn)題之一SQL注入問(wèn)題代碼（ASP+MSSQLServer）ifRequest.QueryString("id")isNoThingthenid=1else

id=Request.QueryString("id")endifsql="selecttitle,contentfrom[news]whereid="&idsetrs=Server.CreateObject("adodb.Recordset")rs.Opensql,connection,1,1第七頁(yè)，共三十八頁(yè)。安全性問(wèn)題之一SQL注入修改數(shù)據(jù)庫(kù)內(nèi)容提交語(yǔ)句1;updatenewssettitle='test'wheretitle='oldtitle’執(zhí)行語(yǔ)句：selecttitle,contentfrom[news]whereid=1;updatenewssettitle='test'wheretitle='oldtitle'第八頁(yè)，共三十八頁(yè)。安全性問(wèn)題之一SQL注入刪除其它表提交語(yǔ)句1;droptabletablename執(zhí)行語(yǔ)句：selecttitle,contentfrom[news]whereid=1;droptabletablename第九頁(yè)，共三十八頁(yè)。服務(wù)器返回的錯(cuò)誤信息關(guān)鍵文件路徑第十頁(yè)，共三十八頁(yè)。服務(wù)器返回的錯(cuò)誤信息第十一頁(yè)，共三十八頁(yè)。如何預(yù)防SQL注入?

從應(yīng)用程序的角度來(lái)講,我們要做以下三項(xiàng)工作:1.轉(zhuǎn)義敏感字符及字符串(SQL的敏感字符包括:“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”//”,”..”,”;”,”‘”,”--”,”%”,”0x”,”><=!-*/()|”,和”空格”)。2.屏蔽出錯(cuò)信息：阻止攻擊者知道攻擊的結(jié)果3.服務(wù)端正式處理之前對(duì)提交數(shù)據(jù)的合法性進(jìn)行檢查(包括：數(shù)據(jù)類型,數(shù)據(jù)長(zhǎng)度,敏感字符的校驗(yàn))。在確認(rèn)客戶端的輸入合法之前,服務(wù)端拒絕進(jìn)行關(guān)鍵性的處理操作。第十二頁(yè)，共三十八頁(yè)。如何預(yù)防SQL注入?從實(shí)際應(yīng)用還需要注意：1.只要是提交的數(shù)據(jù)包含非法字符，或者要替換為安全字符，或者提交的數(shù)據(jù)要替換為默認(rèn)值。2.含有非法字符串的數(shù)據(jù)提交不應(yīng)該顯示“您所提交的數(shù)據(jù)非法”等類似的提示。因?yàn)閷?duì)于訪問(wèn)者而言，這是沒(méi)有必要的。3.盡可能完善操作日志記錄和錯(cuò)誤日記記錄。第十三頁(yè)，共三十八頁(yè)。安全性問(wèn)題之二上傳文件漏洞偽造客戶端繞過(guò)上傳后綴名檢查可能導(dǎo)致上傳木馬解決方法：使用白名單，后臺(tái)檢查第十四頁(yè)，共三十八頁(yè)。防止木馬執(zhí)行的方法給各個(gè)不必要的目錄，去掉“執(zhí)行”權(quán)限;刪除不需要的程序映射。第十五頁(yè)，共三十八頁(yè)。安全性問(wèn)題之三XSSCross-SiteScripting(XSS):(跨站點(diǎn)腳本攻擊)XSS是由于Web程序沒(méi)有對(duì)用戶提交的HTML內(nèi)容進(jìn)行適當(dāng)?shù)倪^(guò)濾，這樣攻擊者就可能在你的Web頁(yè)中插入一些HTML語(yǔ)句，這些語(yǔ)句通過(guò)以<script>標(biāo)簽的形式出現(xiàn)。攻擊者通常使用跨站腳本攻擊來(lái)竊取COOKIES

和SESSION信息，或是欺騙用戶將隱私信息暴露給錯(cuò)誤對(duì)象(又稱為釣魚)。第十六頁(yè)，共三十八頁(yè)。問(wèn)題三XSS<html>Resultsfor<script>window.open(?...document.cookie...)</script></html>AttackServer受害人服務(wù)器受害人客戶端usergetsbadlinkuserclicksonlinkvictimechoesuserinput?term=<script>...</script>第十七頁(yè)，共三十八頁(yè)。安全性問(wèn)題之三XSS跨站腳本XSS利用示例Cookie、Session會(huì)話CookieASPSESSIONIDXXXXXXXX、JSESSIONID、PHPSESSID第十八頁(yè)，共三十八頁(yè)。安全性問(wèn)題之三XSS在html編輯輸入：<ahref=“javAScrIpT:alert(document.cookie);”>顯示cookie</a>第十九頁(yè)，共三十八頁(yè)。安全性問(wèn)題之四SCRFCross-SiteRequestForgery(SCRF):(跨站點(diǎn)請(qǐng)求偽造)SCRF的特性就是利用網(wǎng)站對(duì)用戶標(biāo)識(shí)的信任，欺騙用戶的瀏覽器發(fā)送HTTP請(qǐng)求給目標(biāo)站點(diǎn)。第二十頁(yè)，共三十八頁(yè)。安全性問(wèn)題之四SCRF瀏覽器和網(wǎng)站建立認(rèn)證的會(huì)話Web瀏覽器跟可信的站點(diǎn)建立了一個(gè)經(jīng)認(rèn)證的會(huì)話之后，只要是通過(guò)該Web瀏覽器這個(gè)認(rèn)證的會(huì)話所發(fā)送的請(qǐng)求，都被視為可信的動(dòng)作。第二十一頁(yè)，共三十八頁(yè)。安全性問(wèn)題之四SCRF瀏覽器發(fā)送有效的請(qǐng)求瀏覽器正在發(fā)送一個(gè)有效的請(qǐng)求，即Web瀏覽器企圖執(zhí)行一個(gè)可信的動(dòng)作?？尚诺恼军c(diǎn)經(jīng)確認(rèn)發(fā)現(xiàn)，該Web瀏覽器已通過(guò)認(rèn)證，所以該動(dòng)作將被執(zhí)行。第二十二頁(yè)，共三十八頁(yè)。安全性問(wèn)題之四SCRF惡意站點(diǎn)偽造的有效請(qǐng)求圖中，發(fā)生了一個(gè)SCRF攻擊。發(fā)起攻擊的站點(diǎn)致使瀏覽器向可信的站點(diǎn)發(fā)送一個(gè)請(qǐng)求。該可信的站點(diǎn)認(rèn)為，來(lái)自該Web瀏覽器的請(qǐng)求都是經(jīng)過(guò)認(rèn)證的有效請(qǐng)求，所以執(zhí)行這個(gè)“可信的動(dòng)作”。SCRF攻擊之所以會(huì)發(fā)生，其根本原因就是Web站點(diǎn)所驗(yàn)證的是Web瀏覽器而非用戶本身。第二十三頁(yè)，共三十八頁(yè)。安全性問(wèn)題之四SCRF假如張三在瀏覽目標(biāo)站點(diǎn)A，那么站點(diǎn)A便會(huì)給張三的瀏覽器一個(gè)cookie，用于存放一個(gè)偽隨機(jī)數(shù)作為會(huì)話標(biāo)識(shí)符sid，以跟蹤她的會(huì)話。該站點(diǎn)會(huì)要求張三進(jìn)行登錄，當(dāng)她輸入有效的用戶名和口令時(shí)，該站點(diǎn)會(huì)記錄這樣一個(gè)事實(shí)：張三已經(jīng)登錄到會(huì)話sid。當(dāng)張三發(fā)送一個(gè)請(qǐng)求到站點(diǎn)A時(shí)，她的瀏覽器就會(huì)自動(dòng)地發(fā)送包含sid的會(huì)話cookie。之后，站點(diǎn)A就會(huì)使用站點(diǎn)的會(huì)話記錄來(lái)識(shí)別該會(huì)話是否來(lái)自張三。第二十四頁(yè)，共三十八頁(yè)。安全性問(wèn)題之四SCRF現(xiàn)在，我們假設(shè)張三訪問(wèn)了一個(gè)惡意站點(diǎn)B，該站點(diǎn)提供的內(nèi)容中的JavaScript代碼或者圖像標(biāo)簽會(huì)導(dǎo)致張三的瀏覽器向站點(diǎn)A發(fā)送一個(gè)HTTP請(qǐng)求。由于該請(qǐng)求是發(fā)給站點(diǎn)A的，所以張三的瀏覽器自動(dòng)地給該請(qǐng)求附上與站點(diǎn)A對(duì)應(yīng)的該會(huì)話cookie的sid。站點(diǎn)A看到該請(qǐng)求時(shí)，它就能通過(guò)該cookie的推斷出：該請(qǐng)求來(lái)自張三，所以站點(diǎn)A就會(huì)對(duì)張三的帳戶執(zhí)行所請(qǐng)求的操作。這樣，SCRF攻擊就能得逞了。第二十五頁(yè)，共三十八頁(yè)。安全性問(wèn)題之四SCRF第二十六頁(yè)，共三十八頁(yè)。安全性問(wèn)題之四SCRF總之，只要身份認(rèn)證是隱式進(jìn)行的，就會(huì)存在SCRF攻擊的危險(xiǎn)，因?yàn)闉g覽器發(fā)出請(qǐng)求這一動(dòng)作未必是受用戶的指使。原則上，這種威脅可以通過(guò)對(duì)每個(gè)發(fā)送至該站點(diǎn)的請(qǐng)求都要求用戶進(jìn)行顯式的、不可欺騙的動(dòng)作(比如重新輸入用戶名和口令)來(lái)消除，但實(shí)際上這會(huì)導(dǎo)致嚴(yán)重的易用性問(wèn)題。大部分標(biāo)準(zhǔn)和廣泛應(yīng)用的認(rèn)證機(jī)制都無(wú)法防止CSRF攻擊。第二十七頁(yè)，共三十八頁(yè)。安全性問(wèn)題之四SCRFSCRF成功發(fā)動(dòng)攻擊前提是，用戶必須已經(jīng)登錄到目標(biāo)站點(diǎn)，并且必須瀏覽了攻擊者的站點(diǎn)或被攻擊者部分控制的站點(diǎn)。第二十八頁(yè)，共三十八頁(yè)。安全性問(wèn)題之四SCRFSCRF和XSS攻擊的區(qū)別在于，XSS攻擊需要JavaScript，而CSRF攻擊不需要；XSS攻擊要求站點(diǎn)接受惡意代碼，而對(duì)于SCRF攻擊來(lái)說(shuō)，惡意代碼位于第三方站點(diǎn)上。防御XSS攻擊的措施無(wú)法保護(hù)站點(diǎn)不受SCRF攻擊的危害。如果站點(diǎn)具有XSS攻擊漏洞，那么它也有SCRF攻擊漏洞。但是，即使站點(diǎn)針對(duì)XSS攻擊采取了全面保護(hù)，卻仍然面臨SCRF攻擊的威脅。第二十九頁(yè)，共三十八頁(yè)。安全性問(wèn)題之五XSIOCrossSiteImageOverlaying(XSIO):跨站圖像疊加X(jué)SIO是因?yàn)闆](méi)有限制圖片的position屬性為absolute，導(dǎo)致可以控制一張圖片出現(xiàn)在網(wǎng)頁(yè)的任意位置。那么我們就可以用這張圖片去覆蓋網(wǎng)頁(yè)上的任意一個(gè)位置（link、button）。這就可以導(dǎo)致頁(yè)面破壞。而給圖片設(shè)置一個(gè)鏈接后，很顯然就可以起到一個(gè)釣魚的作用。由于對(duì)正常的HTML標(biāo)簽是沒(méi)有做過(guò)濾的，所以我們可以用這些標(biāo)簽或CSS樣式來(lái)實(shí)施XSIO攻擊。第三十頁(yè)，共三十八頁(yè)。安全性問(wèn)題之六XSIO第三十一頁(yè)，共三十八頁(yè)。安全性問(wèn)題之六XSIO<ahref="javAScrIpT:alert('跨站圖像疊加X(jué)SIO');"><imgheight="240"src="/BL_BBS/uploads/a2.JPG"width="320"style="filter:alpha(opacity=30);left:0px;position:absolute;top:100px;opacity:0.3"/></a>跨站圖像疊加第三十二頁(yè)，共三十八頁(yè)。安全性問(wèn)題的根源客戶端數(shù)據(jù)的不可信任性。Never—underanycircumstances—trustdatafromthebrowser.（從不要相信來(lái)自瀏覽器端的數(shù)據(jù)，因?yàn)槟阌肋h(yuǎn)不可能知道在瀏覽器進(jìn)行數(shù)據(jù)操作是你的用戶還是正在尋找攻擊漏洞的黑客）不信任客戶端如何交換數(shù)據(jù)？第三十三頁(yè)，共三十八頁(yè)。解決方法：安全性測(cè)試安全性測(cè)試是一個(gè)很大的題目，首先取決于要達(dá)到怎樣的安全程度。不要期望網(wǎng)站可以達(dá)到100%的安全。第三十四頁(yè)，共三十八頁(yè)。解決方法：安全性測(cè)試(1)如何進(jìn)行XSS測(cè)試?首先,找到帶有參數(shù)傳遞的URL,如登錄頁(yè)面,搜索頁(yè)面,提交評(píng)論,發(fā)表留言頁(yè)面等等。其次,在頁(yè)面參數(shù)中輸入如下語(yǔ)句(如:Javascript,VBscript,HTML,ActiveX,Flash)來(lái)進(jìn)行測(cè)試：<script>alert(document.cookie)</script>第三十五頁(yè)，共三十八頁(yè)。解決方法：安全性測(cè)試(2)如何預(yù)防XSS漏洞?從應(yīng)用程序的角度來(lái)講,要進(jìn)行以下幾項(xiàng)預(yù)防:對(duì)Javascript,VBscript,HTML,ActiveX,Flash等語(yǔ)句或腳本進(jìn)行轉(zhuǎn)義。在服務(wù)端正式處理之前對(duì)提交數(shù)據(jù)的合法性進(jìn)行檢查(包括:數(shù)據(jù)類型,數(shù)據(jù)長(zhǎng)度,敏感字符的校驗(yàn))等。從測(cè)試人員的角度來(lái)講,要從需求檢查和執(zhí)行測(cè)試過(guò)程兩個(gè)階段來(lái)完成XSS檢查:在需求檢查過(guò)程中對(duì)各輸入項(xiàng)或輸出項(xiàng)進(jìn)行類型、長(zhǎng)度以及取值范圍進(jìn)行驗(yàn)證，著重驗(yàn)證是否對(duì)HTML或腳本代碼進(jìn)行了轉(zhuǎn)義。執(zhí)行測(cè)試過(guò)程中也應(yīng)對(duì)上述項(xiàng)進(jìn)行檢查。第三十六頁(yè)，共三十八頁(yè)。解決方法：安全性測(cè)試一般實(shí)現(xiàn)業(yè)務(wù)的網(wǎng)站期望的安全指標(biāo)：1、能夠?qū)γ艽a試探工具進(jìn)行防范；2、能夠防范對(duì)cookie攻擊等常用攻擊手段；3、敏感數(shù)據(jù)保證不用明文傳輸；4、能防范通過(guò)文件名猜測(cè)和查看HTML文件內(nèi)容獲取重要信息；5、能保證在網(wǎng)站受到攻擊后在給定時(shí)間內(nèi)恢復(fù)。第三十七頁(yè)，共三十八頁(yè)。內(nèi)容總結(jié)系統(tǒng)安全

——Web安全性。系統(tǒng)安全

——Web