《網(wǎng)絡(luò)安全技術(shù)配置與應(yīng)用》課件項(xiàng)目四 Web站點(diǎn)安全監(jiān)測與防范習(xí)題及解答

項(xiàng)目二Web站點(diǎn)安全監(jiān)測與防范習(xí)題及解答任務(wù)一Sql注入檢測與防范1）、在WEB交互過程中，用戶通過瀏覽器輸入的數(shù)據(jù)是如何提交給服務(wù)器端的？解答： WEB交互中，用戶通過http協(xié)議可以以下3種形式提交數(shù)據(jù)：一是web表單形式；二是通過GET方式附加在請求的URL后面；三是通過POST方式，把數(shù)據(jù)存儲在一個指定區(qū)域進(jìn)行提交。分析： GET方式附加在請求的URL后面提交數(shù)據(jù)，數(shù)據(jù)暴露給用戶，不安全。2）、哪些系統(tǒng)中有可能存在SQL注入威脅，請舉例說明？解答： 涉及數(shù)據(jù)存儲并使用數(shù)據(jù)庫軟件作為后臺數(shù)據(jù)存儲、管理的系統(tǒng)、平臺都可能存在SQL注入威脅，如各類信息管理系統(tǒng)：教務(wù)管理系統(tǒng)、學(xué)生成績查詢系統(tǒng)、圖書館管理系統(tǒng)等。分析： 是否存在SQL注入威脅可通過構(gòu)建注入語句對各系統(tǒng)、平臺進(jìn)行測試。3）、簡述SQL注入產(chǎn)生的原因？解答： 產(chǎn)生SQL注入的根本原因是數(shù)據(jù)庫沒有對SQL語句進(jìn)行有效性檢測，惡意的SQL語句被執(zhí)行，導(dǎo)致了信息的泄露，所以使用數(shù)據(jù)庫須養(yǎng)成良好的習(xí)慣。分析：可采用以下措施進(jìn)行防范：不要信任用戶的輸入；不要動態(tài)拼裝SQL語句，可以使用參數(shù)化的SQL或者直接使用存儲過程進(jìn)行數(shù)據(jù)查詢存取，參數(shù)化查詢是訪問數(shù)據(jù)庫時在需要填入數(shù)值或數(shù)據(jù)的地方，使用參數(shù)(Parameter)來賦值；應(yīng)用的異常信息應(yīng)該給出盡可能少的提示；不要使用數(shù)據(jù)庫系統(tǒng)管理員權(quán)限的連接數(shù)據(jù)庫，應(yīng)對庫、表進(jìn)行用戶、權(quán)限的細(xì)分，確保表、庫、系統(tǒng)的使用者不要越界。4）、使用SQL注入如何猜測數(shù)據(jù)表名？解答： 在sql語句中構(gòu)建包含“--”字符，sql數(shù)據(jù)庫軟件執(zhí)行時會把其后的語句當(dāng)注釋處理，所以在“--”字符前添加selectfrom語句即可對數(shù)據(jù)庫進(jìn)行數(shù)據(jù)表名猜測攻擊。分析：任務(wù)可構(gòu)建1=’1’變?yōu)?=(selectcount(*)fromallusertbls)—語句；利用這個注入語句可以實(shí)現(xiàn)對信息系統(tǒng)的數(shù)據(jù)表名的猜測攻擊，數(shù)據(jù)表名錯誤，點(diǎn)擊“SignIn”按鈕后，服務(wù)器將返回如圖4-17所示錯誤提示信息，數(shù)據(jù)表名稱無效即該表名不正確；如果輸入變?yōu)椤?2’or1=(selectcount(*)fromallusertbl)--”，數(shù)據(jù)表名正確，點(diǎn)擊“SignIn”按鈕后，服務(wù)器返回如圖4-16所示用戶列表界面；通過這種方式攻擊者可以獲取目標(biāo)主機(jī)的數(shù)據(jù)表名。5）、C#中使用參數(shù)化查詢方式操作數(shù)據(jù)庫涉及哪些對象？解答： 涉及Connection對象和Command對象，在Command對象中使用“@+參數(shù)名”的形式占位并使用Parmmeters屬性的AddWithValue方法進(jìn)行格式化賦值。分析：參數(shù)化查詢方式操作數(shù)據(jù)庫時數(shù)據(jù)庫完成SQL指令的編譯后，才套用參數(shù)運(yùn)行，因此就算參數(shù)中含有特殊字符串或指令，也不會被數(shù)據(jù)庫運(yùn)行。6）、在進(jìn)行SQL防范時，參數(shù)化查詢和特殊字符檢測方式相比，哪種方法最好，為什么？解答： 參數(shù)化查詢方式好，特殊字符檢測方式需要收集特殊字符、指令庫，一旦特殊字符、指令庫不完整，也同樣會造成SQL注入。分析：參數(shù)化查詢方式操作數(shù)據(jù)庫時數(shù)據(jù)庫完成SQL指令的編譯后，才套用參數(shù)運(yùn)行，因此就算參數(shù)中含有特殊字符串或指令，也不會被數(shù)據(jù)庫運(yùn)行。任務(wù)二任務(wù)二XSS攻擊檢測與防范XSS攻擊的必備條件是什么？解答： 界面提供用戶錄入接口且對用戶錄入不做限制，服務(wù)器端對用戶錄入信息不進(jìn)行過濾且能返回用戶錄入的原始信息；用戶錄入的信息中包含有HTML代碼和javascript腳本，HTML代碼可觸發(fā)javascript腳本代碼。分析：XXS攻擊的核心是javascript腳本代碼。2）、瀏覽器同源策略下如何實(shí)現(xiàn)數(shù)據(jù)的跨域傳輸？解答： <form>、<a>、<input>、<script>標(biāo)簽的src、href屬性以及JSONP(JSONwithPadding)都可實(shí)現(xiàn)跨域通信方式，其它的非同源通信都是被禁止的。分析：任務(wù)中編寫網(wǎng)頁時通過<link>標(biāo)簽的href屬性指定從”/bootstrap/3.3.5/css/bootstrap.min.css”引入樣式表框架bootstrap，通過<script>標(biāo)簽的src屬性指定從/jquery/1.11.3/jquery.min.js”引入javascript框架jQuery；這些都是跨域通信方式。3）、NetFrameWork2.0框架是如何防范XSS的？解答：C#.NetFrameWork2.0框架采用服務(wù)器端方式對XSS攻擊進(jìn)行防范，可在服務(wù)器端設(shè)置全局參數(shù)文件Global.asax，設(shè)置Cookie信息的HttpOnly屬性為true禁止客戶端讀取Cookie信息；其次可設(shè)置站點(diǎn)配置文件web.config的<system.web>節(jié)點(diǎn)，設(shè)置其<pages>選項(xiàng)的validateRequest屬性值為true，開啟對js腳本代碼的檢測。分析：客戶端防范XSS攻擊可減少開發(fā)者的工作量，chrome瀏覽器默認(rèn)對用戶錄入的信息進(jìn)行js腳本代碼檢測。4）、請使用javascript語言對字符串“<scripttype=”text/javascript”>”