軟件安全技術(shù)課件：Web漏洞分析

Web漏洞分析本講要點(diǎn)1.Web基礎(chǔ)知識(shí)2.典型的Web安全漏洞

（根據(jù)2017版OWASPTop10修改）3.對(duì)策1.Web基礎(chǔ)知識(shí)（1）目前普遍使用的Web三層架構(gòu)1.Web基礎(chǔ)知識(shí)（2）一次Web訪問(wèn)過(guò)程分析用戶瀏覽器Web服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器中間件服務(wù)器如PHP服務(wù)輸入網(wǎng)址解析、渲染呈現(xiàn)頁(yè)面給用戶域名解析HTTP請(qǐng)求HTTP響應(yīng)網(wǎng)站內(nèi)部處理1）域名解析：瀏覽器會(huì)依次查詢?yōu)g覽器的DNS緩存、系統(tǒng)緩存、路由器緩存，如果沒(méi)有找到，則一直查詢到根域名服務(wù)器緩存，找到域名所對(duì)應(yīng)的的IP地址。2）TCP連接：通過(guò)IP地址找到IP對(duì)應(yīng)的服務(wù)器后，要求建立TCP連接。3）HTTP連接：TCP連接成功后，瀏覽器開(kāi)始向這個(gè)服務(wù)器發(fā)送一個(gè)HTTP請(qǐng)求。服務(wù)器接收到請(qǐng)求后開(kāi)始進(jìn)行處理，處理結(jié)束，返回一個(gè)響應(yīng)包。4）瀏覽器接收和處理：瀏覽器接收到來(lái)自服務(wù)器的響應(yīng)后，開(kāi)始解析和渲染接收到的內(nèi)容并呈現(xiàn)給用戶。5）TCP斷開(kāi)連接：最后客戶端斷開(kāi)與服務(wù)器的TCP連接。2.典型的Web安全漏洞Web應(yīng)用安全漏洞是Web應(yīng)用程序在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、維護(hù)和使用等過(guò)程中，有意或無(wú)意產(chǎn)生的缺陷，這些缺陷一旦被攻擊者所利用，就會(huì)造成對(duì)網(wǎng)站或用戶的安全損害，從而影響構(gòu)建于Web應(yīng)用之上正常服務(wù)的運(yùn)行，危害網(wǎng)站或用戶的安全屬性。2.典型的Web安全漏洞OWASP2013年發(fā)布的Web安全十大威脅（漏洞）2.典型的Web安全漏洞OWASP2017年發(fā)布的Web安全十大威脅OWASPTop10-2017主要基于超過(guò)40家專門(mén)從事應(yīng)用程序安全業(yè)務(wù)的公司提交的數(shù)據(jù)，以及500位以上個(gè)人完成的行業(yè)調(diào)查。這些數(shù)據(jù)包含了從數(shù)以百計(jì)的組織和超過(guò)10萬(wàn)個(gè)實(shí)際應(yīng)用程序和API中收集的漏洞。前10大風(fēng)險(xiǎn)項(xiàng)是根據(jù)這些流行數(shù)據(jù)選擇和優(yōu)先排序，并結(jié)合了對(duì)可利用性、可檢測(cè)性和影響程度的一致性評(píng)估而形成。OWASPTop10-2017的首要目的是教導(dǎo)開(kāi)發(fā)人員、設(shè)計(jì)人員、架構(gòu)師、管理人員和企業(yè)組織，讓他們認(rèn)識(shí)到最嚴(yán)重Web應(yīng)用漏洞。2.典型的Web安全漏洞OWASP2017年發(fā)布的Web安全十大威脅2.典型的Web安全漏洞OWASPTop10-2017變化1）刪除了A8和A10項(xiàng)。由于更多的平臺(tái)添加了CSRF防御，所以發(fā)現(xiàn)CSRF漏洞的應(yīng)用程序不到5％，同時(shí)只在8％左右的應(yīng)用程序中發(fā)現(xiàn)未驗(yàn)證的重定向和轉(zhuǎn)發(fā)漏洞，因此A8和A10這兩項(xiàng)排除在了top10之外，但仍然是需要關(guān)注的重要風(fēng)險(xiǎn)。2.典型的Web安全漏洞OWASPTop10-2017變化2）A3降位。2013年排名第三的XSS在2017年只排名第七名，其中除了開(kāi)發(fā)者對(duì)XSS的防范意識(shí)加強(qiáng)之外另一個(gè)關(guān)鍵的原因在于，目前有很多自動(dòng)化的掃描工具，都已經(jīng)內(nèi)建XSS掃描，可以加快漏洞修補(bǔ)速度，使得整體XSS漏洞數(shù)量看起來(lái)比以往少，但XSS風(fēng)險(xiǎn)卻沒(méi)有因此減少。2.典型的Web安全漏洞OWASPTop10-2017變化3）新添加3項(xiàng)。包括XXE、不安全的反序列化和不足的日志記錄和監(jiān)控，而后者對(duì)于許多組織來(lái)說(shuō)是個(gè)嚴(yán)重的問(wèn)題。2.典型的Web安全漏洞OWASPTop10-2017變化變化的主要原因：在過(guò)去的幾年中，應(yīng)用程序的基礎(chǔ)技術(shù)和結(jié)構(gòu)發(fā)生了重大變化，一些成熟的框架被大量使用，JS框架（如Angular、React）編寫(xiě)的單頁(yè)應(yīng)用程序，允許創(chuàng)建高度模塊化的前端用戶體驗(yàn)；原來(lái)交付服務(wù)器端處理的功能現(xiàn)在變?yōu)橛煽蛻舳颂幚怼?.典型的Web安全漏洞OWASPTop10-2017A1：Injection（注入）原理：攻擊者能夠利用現(xiàn)有Web應(yīng)用程序，將惡意代碼當(dāng)作數(shù)據(jù)插入查詢語(yǔ)句或命令中，這些惡意數(shù)據(jù)可以欺騙解析器，從而執(zhí)行非授權(quán)操作。可利用性：注入攻擊漏洞往往是應(yīng)用程序缺少對(duì)輸入進(jìn)行安全性檢查所引起的。幾乎任何數(shù)據(jù)源都能成為注入載體，包括環(huán)境變量、所有類型的用戶、參數(shù)、外部和內(nèi)部Web服務(wù)。普遍性：注入漏洞十分普遍，注入漏洞通常能在SQL查詢、LDAP查詢、OS命令、程序參數(shù)等中出現(xiàn)。2.典型的Web安全漏洞OWASPTop10-2017A1：Injection（注入）視頻：2.典型的Web安全漏洞OWASPTop10-2017A1：Injection（注入）可檢測(cè)性：注入漏洞很容易通過(guò)代碼審查發(fā)現(xiàn)。掃描器和模糊測(cè)試工具可以幫助攻擊者找到這些漏洞。危害性：數(shù)據(jù)丟失、破壞或泄露給非授權(quán)方。缺乏可審計(jì)性或是拒絕服務(wù)。獲取承載主機(jī)和網(wǎng)絡(luò)的控制權(quán)。2.典型的Web安全漏洞A1：Injection（注入）攻擊舉例：DVWA$query="SELECTfirst_name,last_nameFROMusersWHEREuser_id='$id’;”;輸入：1，user_id=1查詢成功輸入：1'and'1'='2，user_id=

'1'and'1'='2查詢失敗輸入：1'or'1'='1，user_id='1'or'1'='1'恒真查詢成功，返回了多個(gè)結(jié)果2.典型的Web安全漏洞A1：Injection（注入）防御基本方法代碼層漏洞防護(hù)采用強(qiáng)類型語(yǔ)言，如Java、C#。盡可能避免使用拼接的動(dòng)態(tài)SQL語(yǔ)句，所有的查詢語(yǔ)句都使用數(shù)據(jù)庫(kù)提供的參數(shù)化查詢接口。參數(shù)化的語(yǔ)句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語(yǔ)句中。在服務(wù)端驗(yàn)證用戶輸入的值和類型是否符合程序的預(yù)期要求。在服務(wù)器端對(duì)用戶輸入進(jìn)行過(guò)濾。避免網(wǎng)站顯示SQL錯(cuò)誤信息，比如類型錯(cuò)誤、字段不匹配等，防止攻擊者利用這些錯(cuò)誤信息進(jìn)行一些判斷。2.典型的Web安全漏洞A1：Injection（注入）防御基本方法代碼層漏洞防護(hù)加固應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)，利用最低權(quán)限賬戶與數(shù)據(jù)庫(kù)連接。Web安全開(kāi)發(fā)中應(yīng)當(dāng)遵循安全規(guī)范，例如OWASP企業(yè)安全應(yīng)用程序接口（TheOWASPEnterpriseSecurityAPI，OWASPESAPI）。2.典型的Web安全漏洞A1：Injection（注入）防御基本方法使用專業(yè)的漏洞掃描工具進(jìn)行安全性測(cè)試應(yīng)當(dāng)在Web應(yīng)用程序開(kāi)發(fā)過(guò)程的所有階段實(shí)施代碼的安全檢查，在開(kāi)發(fā)和部署Web應(yīng)用的前后，應(yīng)利用專業(yè)的漏洞掃描工具對(duì)網(wǎng)站進(jìn)行安全性測(cè)試，對(duì)檢測(cè)出的SQL注入漏洞及時(shí)修補(bǔ)。。SQLMap（

）Pangolin（中文譯名“穿山甲”）2.典型的Web安全漏洞OWASPTop10-2017A2：Injection（注入）原理：攻擊者能夠利用現(xiàn)有Web應(yīng)用程序，將惡意代碼當(dāng)作數(shù)據(jù)插入查詢語(yǔ)句或命令中，這些惡意數(shù)據(jù)可以欺騙解析器，從而執(zhí)行非授權(quán)操作?？衫眯裕鹤⑷牍袈┒赐菓?yīng)用程序缺少對(duì)輸入進(jìn)行安全性檢查所引起的。幾乎任何數(shù)據(jù)源都能成為注入載體，包括環(huán)境變量、所有類型的用戶、參數(shù)、外部和內(nèi)部Web服務(wù)。普遍性：注入漏洞十分普遍，注入漏洞通常能在SQL查詢、LDAP查詢、OS命令、程序參數(shù)等中出現(xiàn)。2.典型的Web安全漏洞OWASPTop10-20172.典型的Web安全漏洞OWASPTop10-20172.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞2.典型的Web安全漏洞