第8章Web站點的安全

1、123lWeb網(wǎng)絡安全的概念、機制和特點網(wǎng)絡安全的概念、機制和特點 lWeb站點的安全隱患站點的安全隱患 l網(wǎng)絡安全的一些安全漏洞及測試網(wǎng)絡安全的一些安全漏洞及測試 l有利于有利于Web站點安全的技術實現(xiàn)站點安全的技術實現(xiàn) l防火墻在防火墻在Web站點安全中的應用站點安全中的應用 4l了解了解Web網(wǎng)絡安全的概念、機制和特點網(wǎng)絡安全的概念、機制和特點 l認識認識Web站點的安全隱患站點的安全隱患l掌握網(wǎng)絡安全的一些安全漏洞及測試掌握網(wǎng)絡安全的一些安全漏洞及測試 l描述有利于描述有利于Web站點安全的技術實現(xiàn)站點安全的技術實現(xiàn) l了解防火墻在了解防火墻在Web站點安全中的應用站點安全中的應用 5

2、l國際互聯(lián)網(wǎng)絡國際互聯(lián)網(wǎng)絡Internet Internet 提供的服務可歸納提供的服務可歸納9項項 ： 1. 遠程登錄服務遠程登錄服務 遠程登錄是遠程登錄是Internet最早提供的基本服務功能之一。最早提供的基本服務功能之一。Internet中的用戶遠程登錄使用了中的用戶遠程登錄使用了Telnet命令，命令，Telnet協(xié)議是協(xié)議是TCP/IP協(xié)議的一部分，它詳細定義了客戶機協(xié)議的一部分，它詳細定義了客戶機與遠程服務器之間的交互過程。它的主要優(yōu)點是能與遠程服務器之間的交互過程。它的主要優(yōu)點是能夠解決不同類型的計算機系統(tǒng)之間的互操作問題。夠解決不同類型的計算機系統(tǒng)之間的互操作問題。 6l國際

3、互聯(lián)網(wǎng)絡國際互聯(lián)網(wǎng)絡Internet Telnet采用了客戶機采用了客戶機/服務器模式，其結構如圖所示：服務器模式，其結構如圖所示：7l國際互聯(lián)網(wǎng)絡國際互聯(lián)網(wǎng)絡Internet 2. 文件傳送服務文件傳送服務FTP FTP服務由服務由TCP/IP的文件傳輸協(xié)議支持。只要加入的文件傳輸協(xié)議支持。只要加入Internet網(wǎng)的兩臺計算機都支持網(wǎng)的兩臺計算機都支持TCP/IP協(xié)議，無論它協(xié)議，無論它們相距多遠，用戶都能將一臺計算機上的文件傳輸們相距多遠，用戶都能將一臺計算機上的文件傳輸?shù)搅硪慌_計算機上。到另一臺計算機上。 8l國際互聯(lián)網(wǎng)絡國際互聯(lián)網(wǎng)絡Internet FTP在本地和遠程文件系統(tǒng)之間傳輸

4、文件的過程如在本地和遠程文件系統(tǒng)之間傳輸文件的過程如圖所示：圖所示：9l國際互聯(lián)網(wǎng)絡國際互聯(lián)網(wǎng)絡Internet 3. 電子郵政服務電子郵政服務 電子郵政簡稱為電子郵政簡稱為E-mail，是一種通過計算機網(wǎng)絡與，是一種通過計算機網(wǎng)絡與其他用戶進行通信的現(xiàn)代化手段。用戶必須向提供其他用戶進行通信的現(xiàn)代化手段。用戶必須向提供電子郵政服務的機構提出申請，該機構在其與電子郵政服務的機構提出申請，該機構在其與Internet聯(lián)網(wǎng)的計算機上為用戶建立一個電子郵箱，聯(lián)網(wǎng)的計算機上為用戶建立一個電子郵箱，分配一個分配一個E-mail地址。地址。 10l國際互聯(lián)網(wǎng)絡國際互聯(lián)網(wǎng)絡Internet 4.名址服務名址

5、服務 名址服務器可以向用戶提供對用戶名址，計算機名名址服務器可以向用戶提供對用戶名址，計算機名址和址和E-mail地址的查詢服務。地址的查詢服務。 5. 文檔查詢服務文檔查詢服務 Internet中有一種被稱為文檔查詢服務器（中有一種被稱為文檔查詢服務器（Archie server）的計算機，用戶只要向這種服務器提供希望）的計算機，用戶只要向這種服務器提供希望查找的文件的文件名或文件描述說明中包含的字符查找的文件的文件名或文件描述說明中包含的字符串，文檔查詢服務器就能查找到存放著所需文件的串，文檔查詢服務器就能查找到存放著所需文件的FTP服務器。服務器。 11l國際互聯(lián)網(wǎng)絡國際互聯(lián)網(wǎng)絡Inte

6、rnet 6. 網(wǎng)絡新聞服務網(wǎng)絡新聞服務 網(wǎng)絡新聞（網(wǎng)絡新聞（Network News）是由一些）是由一些Internet用戶為用戶為了討論共同感興趣的問題而組成的一種邏輯上的用了討論共同感興趣的問題而組成的一種邏輯上的用戶交流網(wǎng)絡。用戶可以通過戶交流網(wǎng)絡。用戶可以通過Internet隨時閱讀服務器隨時閱讀服務器提供的消息，并能把自己的觀點提供給服務器，作提供的消息，并能把自己的觀點提供給服務器，作為消息在組內發(fā)布。為消息在組內發(fā)布。 7. Gopher 服務服務 Gopher是基于菜單驅動的是基于菜單驅動的Internet信息查詢工具，它信息查詢工具，它能將用戶的請求自動轉換為能將用戶的請求

7、自動轉換為FTP 或或Telnet命令。命令。 12l國際互聯(lián)網(wǎng)絡國際互聯(lián)網(wǎng)絡Internet 8. WAIS服務服務 廣域信息服務（廣域信息服務（Wide Area Information Service）基）基于文件內容（關鍵字）于文件內容（關鍵字） 的自動搜索服務，通常被圖的自動搜索服務，通常被圖書管理員、醫(yī)學研究員等一些專業(yè)人士使用。書管理員、醫(yī)學研究員等一些專業(yè)人士使用。 9. www服務服務 13lWorld Wide Web簡介簡介 1. Web的產(chǎn)生和發(fā)展的產(chǎn)生和發(fā)展 World Wide Web 簡寫為簡寫為WWW或或Web,是是Tim Berners-Lee在在CERN發(fā)明

8、的。發(fā)明的。 Web實際上是世界范實際上是世界范圍內相互聯(lián)系的文件的大集合。圍內相互聯(lián)系的文件的大集合。14lWorld Wide Web簡介簡介 2. Web的工作原理的工作原理 1）客戶機）客戶機/服務器模式服務器模式 所有的所有的C/S系統(tǒng)都可以分為系統(tǒng)都可以分為3部分：客戶機、中間件部分：客戶機、中間件和服務器。和服務器。 客戶機涉及軟件的用戶前端部分，常常使用圖形用客戶機涉及軟件的用戶前端部分，常常使用圖形用戶界面。中間件位于客戶機與服務器中間，通常對戶界面。中間件位于客戶機與服務器中間，通常對用戶是透明的。服務器通常是作為核心的程序或機用戶是透明的。服務器通常是作為核心的程序或機器

9、，提供對客戶機的服務。器，提供對客戶機的服務。 15lWorld Wide Web簡介簡介 2）超文本模式）超文本模式 Web在在Internet上基于超文本置標語言上基于超文本置標語言(HTML)、 超超 文本傳輸協(xié)議（文本傳輸協(xié)議（HTTP）和統(tǒng)一資源定位器（）和統(tǒng)一資源定位器（URL)。 超文本可以簡單定義為收集、存儲和瀏覽離散信息，超文本可以簡單定義為收集、存儲和瀏覽離散信息， 以及建立和表示信息之間關系的技術。以及建立和表示信息之間關系的技術。 超文本賦予了超文本賦予了Web一種強有力的功能，使得用戶以一種強有力的功能，使得用戶以同一種方式來訪問所有的同一種方式來訪問所有的Inter

10、net資源。資源。 16lWorld Wide Web簡介簡介 3）HTML語言語言 Web信息服務系統(tǒng)使用的超文本是用信息服務系統(tǒng)使用的超文本是用HTML語言編語言編寫的。當用戶使用寫的。當用戶使用Web服務客戶瀏覽程序通過服務客戶瀏覽程序通過Internet閱讀這些超文本時，客戶瀏覽程序負責解釋閱讀這些超文本時，客戶瀏覽程序負責解釋文本中嵌入的文本中嵌入的HTML，并按照，并按照HTML命令將文本中命令將文本中的信息顯示給用戶。的信息顯示給用戶。 17lWorld Wide Web簡介簡介 4）超文本傳輸通信協(xié)議）超文本傳輸通信協(xié)議HTTP HTTP協(xié)議是一種很簡單的通信協(xié)議，其實現(xiàn)基礎是

11、協(xié)議是一種很簡單的通信協(xié)議，其實現(xiàn)基礎是通過網(wǎng)絡查詢的文件包含著可以實現(xiàn)進一步查詢的通過網(wǎng)絡查詢的文件包含著可以實現(xiàn)進一步查詢的鏈接。鏈接。 HTTP定義瀏覽器和服務器如何通信并傳遞信息。定義瀏覽器和服務器如何通信并傳遞信息。 18lWorld Wide Web簡介簡介 5）SQL語言語言 SQL是高級的非過程化編程語言，允許用戶在高層是高級的非過程化編程語言，允許用戶在高層數(shù)據(jù)結構上工作。具有不同底層結構的不同數(shù)據(jù)庫數(shù)據(jù)結構上工作。具有不同底層結構的不同數(shù)據(jù)庫系統(tǒng)可以使用相同的系統(tǒng)可以使用相同的SQL語言作為數(shù)據(jù)輸入與管理語言作為數(shù)據(jù)輸入與管理的接口。的接口。 SQL語言包含語言包含4個部分

12、：數(shù)據(jù)定義語言個部分：數(shù)據(jù)定義語言 、數(shù)據(jù)操作語、數(shù)據(jù)操作語言、數(shù)據(jù)查詢語言言、數(shù)據(jù)查詢語言 、數(shù)據(jù)控制語言、數(shù)據(jù)控制語言 。 19lWorld Wide Web簡介簡介 6）統(tǒng)一資源定位器）統(tǒng)一資源定位器URL URL是一種統(tǒng)一格式的是一種統(tǒng)一格式的Internet信息資源地址表達方信息資源地址表達方法，它將法，它將Internet提供的各類服務統(tǒng)提供的各類服務統(tǒng)編址，以便用編址，以便用戶通過戶通過Web客戶程序進行查詢?？蛻舫绦蜻M行查詢。 20lWorld Wide Web簡介簡介 7）Web瀏覽器瀏覽器 Web瀏覽器是一種功能強大的用于在Web上閱讀文件的工具，常見的功能如表所示：21l

13、Web的特點的特點 1）Web是圖形化的和易于導航的是圖形化的和易于導航的 Web具有將圖形、音頻、視頻信息集合于一體的特具有將圖形、音頻、視頻信息集合于一體的特性。同時，性。同時，Web是非常易于導航的，只需要從一個是非常易于導航的，只需要從一個鏈接跳到另一個鏈接，就可以在各頁各站點之間進鏈接跳到另一個鏈接，就可以在各頁各站點之間進行瀏覽了。行瀏覽了。 2）Web與平臺無關與平臺無關 瀏覽瀏覽WWW對用戶系統(tǒng)平臺沒有什么限制。對用戶系統(tǒng)平臺沒有什么限制。 22lWeb的特點的特點 3）Web是分布式的是分布式的 Web能使物理上并不一定在一個站點的信息在邏輯能使物理上并不一定在一個站點的信息

14、在邏輯上一體化。上一體化。 4）Web是動態(tài)的是動態(tài)的 信息的提供者可以經(jīng)常對站上的信息進行更新。信息的提供者可以經(jīng)常對站上的信息進行更新。 5）Web是交互的是交互的 Web的交互性表現(xiàn)在它的超連接上；此外，用戶可的交互性表現(xiàn)在它的超連接上；此外，用戶可通過填寫通過填寫FORM向服務器提交請求，服務器根據(jù)用向服務器提交請求，服務器根據(jù)用戶的請求返回相應信息。戶的請求返回相應信息。23l常見的常見的Web應用程序攻擊應用程序攻擊 1. Cookie毒害毒害 網(wǎng)站常常將一些包括用戶網(wǎng)站常常將一些包括用戶 ID、口令、賬號等的、口令、賬號等的Cookie存儲到用戶系統(tǒng)上。通過改變這些值，惡意存儲到

15、用戶系統(tǒng)上。通過改變這些值，惡意的用戶就可以訪問不屬于他們的賬號。的用戶就可以訪問不屬于他們的賬號。 2. 強行瀏覽強行瀏覽 黑客通過改變程序流程，能夠強行訪問一些正常情黑客通過改變程序流程，能夠強行訪問一些正常情況下無法獲得的信息和程序，例如日志文件、管理況下無法獲得的信息和程序，例如日志文件、管理工具以及工具以及Web應用程序的源代碼。應用程序的源代碼。 24l常見的常見的Web應用程序攻擊應用程序攻擊 3跨站腳本執(zhí)行跨站腳本執(zhí)行 跨站腳本執(zhí)行漏洞的成因是因為跨站腳本執(zhí)行漏洞的成因是因為CGI程序沒有對用程序沒有對用戶提交的變量中的戶提交的變量中的HTML代碼進行過濾或轉換。代碼進行過濾或

16、轉換。 導致的威脅包括獲取其他用戶導致的威脅包括獲取其他用戶Cookie中的敏感數(shù)據(jù)、中的敏感數(shù)據(jù)、屏蔽頁面特定信息、偽造頁面信息、拒絕服務攻擊、屏蔽頁面特定信息、偽造頁面信息、拒絕服務攻擊、突破外網(wǎng)內網(wǎng)不同安全設置、與其它漏洞結合、修突破外網(wǎng)內網(wǎng)不同安全設置、與其它漏洞結合、修改系統(tǒng)設置、查看系統(tǒng)文件和執(zhí)行系統(tǒng)命令等。改系統(tǒng)設置、查看系統(tǒng)文件和執(zhí)行系統(tǒng)命令等。 25l常見的常見的Web應用程序攻擊應用程序攻擊 4. 參數(shù)篡改參數(shù)篡改 參數(shù)篡改包括操縱參數(shù)篡改包括操縱URL字符串來檢索用戶用正常方字符串來檢索用戶用正常方式得不到的信息。導致該漏洞的主要原因是式得不到的信息。導致該漏洞的主要原因

17、是Web應應用程序沒有對客戶端提交的參數(shù)進行嚴格的檢驗。用程序沒有對客戶端提交的參數(shù)進行嚴格的檢驗。 5. 輸入信息控制輸入信息控制 輸入信息控制包括通過控制由輸入信息控制包括通過控制由 CGI 腳本處理的腳本處理的 HTML 格式中的輸入信息來運行系統(tǒng)命令。能將服格式中的輸入信息來運行系統(tǒng)命令。能將服務器的口令文件郵寄給惡意的用戶或者刪除系統(tǒng)上務器的口令文件郵寄給惡意的用戶或者刪除系統(tǒng)上的所有文件。的所有文件。 26l常見的常見的Web應用程序攻擊應用程序攻擊 6. 緩沖區(qū)溢出緩沖區(qū)溢出 緩沖區(qū)溢出是指當計算機程序向緩沖區(qū)內填充的數(shù)緩沖區(qū)溢出是指當計算機程序向緩沖區(qū)內填充的數(shù)據(jù)位數(shù)超過了緩沖

18、區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋據(jù)位數(shù)超過了緩沖區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。在合法數(shù)據(jù)上。 如果相關數(shù)據(jù)里包含了惡意代碼，那么溢出的惡意如果相關數(shù)據(jù)里包含了惡意代碼，那么溢出的惡意代碼就會改寫應用程序返回的指令，使其指向包含代碼就會改寫應用程序返回的指令，使其指向包含惡意代碼的地址，使其被惡意代碼的地址，使其被 CPU 編譯而執(zhí)行。編譯而執(zhí)行。 27l常見的常見的Web應用程序攻擊應用程序攻擊 7. 調試選項及后門調試選項及后門 程序開發(fā)人員常常建立一些后門，并依靠調試選項程序開發(fā)人員常常建立一些后門，并依靠調試選項來排除應用程序的故障，這些安全漏洞經(jīng)常被留在來排除應用程序的故障，這

19、些安全漏洞經(jīng)常被留在一些放在一些放在Internet上的最終應用中。上的最終應用中。 一些常見的后門使攻擊者不用口令就可以登錄或者訪一些常見的后門使攻擊者不用口令就可以登錄或者訪問允許直接進行應用配置的特殊問允許直接進行應用配置的特殊URL。 28l常見的常見的Web應用程序攻擊應用程序攻擊 8. 不安全的配置不安全的配置 許多操作系統(tǒng)和應用程序的缺省配置是非常不安全許多操作系統(tǒng)和應用程序的缺省配置是非常不安全的。這些缺省配置有：開放了大量不必要的服務、的。這些缺省配置有：開放了大量不必要的服務、安裝某些不安全的第三方軟件、使用缺省口令、缺安裝某些不安全的第三方軟件、使用缺省口令、缺省例子程序

20、、不正確的文件訪問許可設置等。省例子程序、不正確的文件訪問許可設置等。 為了避免被攻擊者利用，在程序啟用之前應該被重為了避免被攻擊者利用，在程序啟用之前應該被重新配置。新配置。 29l常見的常見的Web應用程序攻擊應用程序攻擊 9. 管理缺失管理缺失 許多操作系統(tǒng)和第三方應用軟件都存在一些已知漏許多操作系統(tǒng)和第三方應用軟件都存在一些已知漏洞，如果管理員不及時對洞，如果管理員不及時對Web站點進行維護，安裝站點進行維護，安裝已經(jīng)發(fā)布了的軟件補丁，這些漏洞就很可能被黑客已經(jīng)發(fā)布了的軟件補丁，這些漏洞就很可能被黑客利用。利用。 30l漏洞掃描器的基本原理如圖漏洞掃描器的基本原理如圖 ： Web應用程

21、序的安全漏洞包括由應用程序的安全漏洞包括由Web站點中的編程站點中的編程錯誤引起的用戶詳細信息被暴露、惡意用戶執(zhí)行任錯誤引起的用戶詳細信息被暴露、惡意用戶執(zhí)行任意的數(shù)據(jù)庫查詢、通過遠程命令行訪問服務器等非意的數(shù)據(jù)庫查詢、通過遠程命令行訪問服務器等非安全行為。漏洞掃描器的基本原理如圖所示：安全行為。漏洞掃描器的基本原理如圖所示： 31l常見的基于網(wǎng)絡掃描常見的基于網(wǎng)絡掃描Web應用程序漏洞的過應用程序漏洞的過程大致分為四步程大致分為四步 ： 1）確定檢測目標，確定）確定檢測目標，確定Web服務器的服務器的IP地址或域名地址或域名地址。地址。 2）從）從Web應用程序漏洞庫列表中提取檢測漏洞，或應

22、用程序漏洞庫列表中提取檢測漏洞，或者從插件組中選取檢測插件。者從插件組中選取檢測插件。 3）發(fā)送檢測請求，根據(jù)響應信息判斷是否存在漏洞。）發(fā)送檢測請求，根據(jù)響應信息判斷是否存在漏洞。 4）返回）返回Web應用程序存在的漏洞類別。應用程序存在的漏洞類別。32l確定目標后，檢測過程如圖確定目標后，檢測過程如圖 ： 33l常見的常見的Web應用程序漏洞應用程序漏洞 1. 物理路徑泄露漏洞物理路徑泄露漏洞 提供提供Web、Ftp等公共服務的服務器都可能出現(xiàn)物理等公共服務的服務器都可能出現(xiàn)物理路徑泄露的問題。路徑泄露的問題。 Web服務器路徑泄露漏洞通常是由服務器路徑泄露漏洞通常是由Web服務器處理服務

23、器處理用戶請求出錯導致的，返回結果時將網(wǎng)站本身所在用戶請求出錯導致的，返回結果時將網(wǎng)站本身所在的物理路徑暴露出來，從而被攻擊者利用。的物理路徑暴露出來，從而被攻擊者利用。 34l常見的常見的Web應用程序漏洞應用程序漏洞 2. 源代碼泄露漏洞源代碼泄露漏洞 源代碼泄露漏洞的產(chǎn)生是由輸入驗證錯誤引起的。源代碼泄露漏洞的產(chǎn)生是由輸入驗證錯誤引起的。 3. 目錄遍歷漏洞目錄遍歷漏洞 目錄遍歷攻擊指的是惡意用戶找到受限文件的位置目錄遍歷攻擊指的是惡意用戶找到受限文件的位置并且瀏覽或者執(zhí)行它們。主要通過猜測文件是否存并且瀏覽或者執(zhí)行它們。主要通過猜測文件是否存在的方法進行。在的方法進行。 35l常見的常

24、見的Web應用程序漏洞應用程序漏洞 4. 執(zhí)行任意命令執(zhí)行任意命令 攻擊的思想是運行自己輸入的命令，而不是按照開攻擊的思想是運行自己輸入的命令，而不是按照開發(fā)人員預期的那樣，執(zhí)行某個指定的程序。攻擊這發(fā)人員預期的那樣，執(zhí)行某個指定的程序。攻擊這種漏洞的目標是發(fā)送到服務器上的操作系統(tǒng)命令或種漏洞的目標是發(fā)送到服務器上的操作系統(tǒng)命令或者可執(zhí)行程序的戶輸入。者可執(zhí)行程序的戶輸入。 36l常見的常見的Web應用程序漏洞應用程序漏洞 5. 緩沖區(qū)溢出漏洞緩沖區(qū)溢出漏洞 緩沖區(qū)溢出是針對緩沖區(qū)溢出是針對Web應用最嚴重的一種攻擊。惡應用最嚴重的一種攻擊。惡意的輸入會侵占其他程序堆棧的內存空間，使得內意的輸

25、入會侵占其他程序堆棧的內存空間，使得內存中原有的其他數(shù)據(jù)被覆蓋。存中原有的其他數(shù)據(jù)被覆蓋。 37l常見的常見的Web應用程序漏洞應用程序漏洞 6拒絕服務攻擊拒絕服務攻擊 拒絕服務攻擊的思想是代碼執(zhí)行總是需要時間的，拒絕服務攻擊的思想是代碼執(zhí)行總是需要時間的，每次由每次由Web服務器、應用程序或數(shù)據(jù)庫調用的函數(shù)，服務器、應用程序或數(shù)據(jù)庫調用的函數(shù)，其執(zhí)行過程總要耗費一定的處理器周期。其執(zhí)行過程總要耗費一定的處理器周期。 如果將大量的請求快速提交到如果將大量的請求快速提交到Web服務器上，并且服務器上，并且都是很多耗時的服務，就可以阻止其他用戶正常訪都是很多耗時的服務，就可以阻止其他用戶正常訪問問

26、Web站點。站點。38l常見的常見的Web應用程序漏洞應用程序漏洞 7. CGI漏洞攻擊漏洞攻擊 CGI程序是交互性的，當攻擊者提交了一些非正常程序是交互性的，當攻擊者提交了一些非正常的數(shù)據(jù)，那么服務器在解釋這些數(shù)據(jù)時可能會繞過的數(shù)據(jù)，那么服務器在解釋這些數(shù)據(jù)時可能會繞過 IIS 對文件名所作的安全檢查。對文件名所作的安全檢查。39l常見的常見的Web應用程序漏洞應用程序漏洞 8. 跨站腳本攻擊跨站腳本攻擊 利用頁面進行利用頁面進行XSS攻擊的方法主要有兩種攻擊的方法主要有兩種 ： 1）將腳本直接輸入到被攻擊的站點的表格域中。）將腳本直接輸入到被攻擊的站點的表格域中。 2）將腳本嵌入到）將腳本

27、嵌入到URL的地址的的地址的CGI參數(shù)中。參數(shù)中。 40l常見的常見的Web應用程序漏洞應用程序漏洞 跨站點腳本攻擊過程如圖所示：跨站點腳本攻擊過程如圖所示： 41l常見的常見的Web應用程序漏洞應用程序漏洞 9. SQL 注入攻擊注入攻擊 很多很多Web站點都會利用用戶輸入的參數(shù)動態(tài)的生成站點都會利用用戶輸入的參數(shù)動態(tài)的生成SQL查詢要求，攻擊者通過在查詢要求，攻擊者通過在 URL、表格域或其他、表格域或其他的輸入域中輸入自己的的輸入域中輸入自己的SQL命令，以此改變查詢屬命令，以此改變查詢屬性騙過應用程序，從而對數(shù)據(jù)庫進行不受限的訪問。性騙過應用程序，從而對數(shù)據(jù)庫進行不受限的訪問。 42l

28、常見的常見的Web應用程序漏洞應用程序漏洞 SQL 注入攻擊流程如圖所示：注入攻擊流程如圖所示： 43l常見的常見的Web應用程序漏洞應用程序漏洞 10. 未驗證的輸入未驗證的輸入 Web應用程序一般是根據(jù)應用程序一般是根據(jù)HTTP請求中用戶的輸入決請求中用戶的輸入決定如何響應，定如何響應， 黑客能夠利用黑客能夠利用HTTP請求中的任何一請求中的任何一部分，包括部分，包括URL、請求字符串、請求字符串、Cookie頭部、表單頭部、表單項或隱含參數(shù)傳遞代碼來發(fā)動攻擊。使用編碼技術項或隱含參數(shù)傳遞代碼來發(fā)動攻擊。使用編碼技術可以繞過可以繞過Web應用程序的驗證與過濾機制。應用程序的驗證與過濾機制。

29、 44l常見的常見的Web應用程序漏洞應用程序漏洞 11. 被破壞的認證和會話管理被破壞的認證和會話管理 在網(wǎng)絡中，通常的用戶授權包括在網(wǎng)絡中，通常的用戶授權包括UserID和密碼的使和密碼的使用。大多數(shù)的賬戶和會話管理漏洞可能破壞用戶或用。大多數(shù)的賬戶和會話管理漏洞可能破壞用戶或系統(tǒng)管理員賬號。系統(tǒng)管理員賬號。 網(wǎng)絡應用程序必須建立會話來跟蹤每個用戶的請求網(wǎng)絡應用程序必須建立會話來跟蹤每個用戶的請求數(shù)據(jù)流，如果會話標記沒有能夠妥善保存，攻擊者數(shù)據(jù)流，如果會話標記沒有能夠妥善保存，攻擊者就可能截獲一個處在激活態(tài)的會話并且假扮成這個就可能截獲一個處在激活態(tài)的會話并且假扮成這個用戶的身份標識。用戶

30、的身份標識。45l常見的常見的Web應用程序漏洞應用程序漏洞 12.不當異常處理不當異常處理 不當?shù)漠惓Ｌ幚砜赡芙o網(wǎng)站帶來各種各樣的安全問不當?shù)漠惓Ｌ幚砜赡芙o網(wǎng)站帶來各種各樣的安全問題。最常見的問題是向用戶顯示內部出錯信息，如題。最常見的問題是向用戶顯示內部出錯信息，如果這些出錯信息不加選擇地展現(xiàn)到用戶面前，就可果這些出錯信息不加選擇地展現(xiàn)到用戶面前，就可能公開了本不應該公開的細節(jié)。能公開了本不應該公開的細節(jié)。 46l常見的常見的Web應用程序漏洞應用程序漏洞 13. 不安全的存儲不安全的存儲 Web應用程序通常使用加密技術來保護敏感信息。應用程序通常使用加密技術來保護敏感信息。在加密技術和應

31、用程序的結合時，容易出現(xiàn)一些錯在加密技術和應用程序的結合時，容易出現(xiàn)一些錯誤，從而給系統(tǒng)帶來嚴重的安全隱患。誤，從而給系統(tǒng)帶來嚴重的安全隱患。 經(jīng)常出錯的幾個地方包括經(jīng)常出錯的幾個地方包括: 1）未對關鍵數(shù)據(jù)進行加密；）未對關鍵數(shù)據(jù)進行加密； 2）密鑰、證書和密碼的不安全存放；）密鑰、證書和密碼的不安全存放； 3）在內存中不恰當?shù)乇４骊P鍵信息；）在內存中不恰當?shù)乇４骊P鍵信息；47l常見的常見的Web應用程序漏洞應用程序漏洞 4）不當?shù)碾S機資源；）不當?shù)碾S機資源； 5）不當?shù)乃惴ㄟx擇；）不當?shù)乃惴ㄟx擇； 6）一種新開發(fā)的加密算法；）一種新開發(fā)的加密算法； 7）當密鑰更改或者其它必備的維護過程發(fā)生

32、時，無）當密鑰更改或者其它必備的維護過程發(fā)生時，無 法提供最新的技術支持。法提供最新的技術支持。 這些薄弱環(huán)節(jié)會給系統(tǒng)帶來嚴重的安全隱患，受保護這些薄弱環(huán)節(jié)會給系統(tǒng)帶來嚴重的安全隱患，受保護 的資源也可能因為這些薄弱環(huán)節(jié)遭受到嚴重破壞。的資源也可能因為這些薄弱環(huán)節(jié)遭受到嚴重破壞。 48l常見的常見的Web應用程序漏洞應用程序漏洞 14.不安全的配置管理不安全的配置管理 Web應用程序服務器的配置對于應用程序服務器的配置對于Web應用程序的安應用程序的安全起到了關鍵作用。許多服務器的配置問題影響了全起到了關鍵作用。許多服務器的配置問題影響了安全性：安全性： 1）服務器軟件漏洞或者錯誤的配置允許列

33、出目錄和）服務器軟件漏洞或者錯誤的配置允許列出目錄和進行目錄遍歷。進行目錄遍歷。 2）沒必要的缺省、備份或者例子文件。）沒必要的缺省、備份或者例子文件。 3）服務器軟件未打補丁的漏洞。）服務器軟件未打補丁的漏洞。 49l常見的常見的Web應用程序漏洞應用程序漏洞 4）不當?shù)奈募湍夸浽L問權限。）不當?shù)奈募湍夸浽L問權限。 5）沒有必要的服務，包括內容管理和遠程管理。）沒有必要的服務，包括內容管理和遠程管理。 6）使用缺省密碼和賬號。）使用缺省密碼和賬號。 7）被激活的、可以被訪問的管理或者調試功能。）被激活的、可以被訪問的管理或者調試功能。 8）使用缺省證書。）使用缺省證書。 9）通過外部系統(tǒng)

34、的不正確授權。）通過外部系統(tǒng)的不正確授權。 10）錯誤配置的）錯誤配置的 SSL 證書和加密設置。證書和加密設置。50l認證機制漏洞檢測認證機制漏洞檢測 根據(jù)根據(jù)Web應用程序要求的不同，可以使用基于應用程序要求的不同，可以使用基于HTTP的認證、基于表單的認證以及的認證、基于表單的認證以及Microsoft Passport。無論是哪種驗證方式，應用程序都會要求用戶輸入無論是哪種驗證方式，應用程序都會要求用戶輸入用戶名和密碼。攻擊者用戶名和密碼。攻擊者可以用自動化的攻擊方式如可以用自動化的攻擊方式如猜測猜測密碼密碼、破壞、破壞Cookie或旁路認證的方式來繞開認或旁路認證的方式來繞開認證機制

35、。證機制。 1）密碼猜測攻擊）密碼猜測攻擊 2）竊取）竊取Cookie 3）結合）結合SQL注入繞過登陸表單注入繞過登陸表單 51l授權機制漏洞檢測授權機制漏洞檢測 程序開發(fā)人員在編寫程序開發(fā)人員在編寫Web應用程序的時候經(jīng)常犯的應用程序的時候經(jīng)常犯的一個錯誤就是使用了不正當?shù)氖跈?。普通用戶在登一個錯誤就是使用了不正當?shù)氖跈唷Ｆ胀ㄓ脩粼诘卿浵到y(tǒng)之后，應該被禁止訪問其他用戶的信息，而錄系統(tǒng)之后，應該被禁止訪問其他用戶的信息，而不正當?shù)氖跈鄷蛊胀ㄓ脩敉ㄟ^各種手段來提升自不正當?shù)氖跈鄷蛊胀ㄓ脩敉ㄟ^各種手段來提升自身的權限，如查看其他用戶的信息，甚至得到更高身的權限，如查看其他用戶的信息，甚至得到

36、更高級的管理權限。修改查詢字符串和修改級的管理權限。修改查詢字符串和修改URL是兩種是兩種常見的攻擊授權的注入方式。常見的攻擊授權的注入方式。 52l輸入驗證漏洞檢測輸入驗證漏洞檢測 攻擊者通過提交應用程序沒有意料到的數(shù)據(jù)進行攻攻擊者通過提交應用程序沒有意料到的數(shù)據(jù)進行攻擊，這些漏洞的成因是應用程序中沒有正確的驗證擊，這些漏洞的成因是應用程序中沒有正確的驗證機制。機制。 1）應用程序緩沖區(qū)溢出漏洞）應用程序緩沖區(qū)溢出漏洞 2）用圓點（）用圓點（./.）遍歷應用程序的目錄）遍歷應用程序的目錄 3）跨站腳本攻擊）跨站腳本攻擊 4）邊界檢查漏洞）邊界檢查漏洞 5）搜索字段的百分號漏洞）搜索字段的百分

37、號漏洞 53lIIS自身的安全防護自身的安全防護 IIS檢驗登錄用戶是否合法的過程包含五個步驟：檢驗登錄用戶是否合法的過程包含五個步驟： 1. IP地址限制地址限制 IIS能夠授予或拒絕特定能夠授予或拒絕特定IP地址對其訪問，在地址對其訪問，在IIS4.0中這種授予或拒絕可以細化為對中這種授予或拒絕可以細化為對Web站點、虛擬目站點、虛擬目錄、目錄和文件的訪問控制。錄、目錄和文件的訪問控制。 54lIIS自身的安全防護自身的安全防護 2. 用戶許可檢查用戶許可檢查 IIS支持支持4種種Web身份驗證模型：匿名、基本、身份驗證模型：匿名、基本、Windows NT請求請求/應答、客戶憑證映射。應

38、答、客戶憑證映射。 利用利用IIS的用戶許可檢查，將某些資源的訪問權限限的用戶許可檢查，將某些資源的訪問權限限定為必須是特定的定為必須是特定的Windows NT的合法用戶，禁止匿的合法用戶，禁止匿名訪問，以此來保護名訪問，以此來保護Web應用程序的重要部分。應用程序的重要部分。 55lIIS自身的安全防護自身的安全防護 3. IIS許可檢查許可檢查 一旦用戶被授予訪問權，服務器就檢查一旦用戶被授予訪問權，服務器就檢查URL和請求和請求類型，并檢查許可和類型，并檢查許可和SSL客戶身份驗證憑證。客戶身份驗證憑證。 IIS還還支持對文件操作的許可控制。支持對文件操作的許可控制。 56lIIS自身

39、的安全防護自身的安全防護 4. 自定義的身份驗證自定義的身份驗證 自定義的身份驗證意味著必須創(chuàng)建自己的身份驗證自定義的身份驗證意味著必須創(chuàng)建自己的身份驗證機制。在系統(tǒng)中最常用的方法是執(zhí)行一個用戶名稱機制。在系統(tǒng)中最常用的方法是執(zhí)行一個用戶名稱和口令的數(shù)據(jù)庫查詢。和口令的數(shù)據(jù)庫查詢。57lIIS自身的安全防護自身的安全防護 5. NTFS文件系統(tǒng)許可文件系統(tǒng)許可 通過使用驗證身份方式的用戶安全性背景，通過使用驗證身份方式的用戶安全性背景，IIS可以可以獲得對特定資源（基于獲得對特定資源（基于URL）的訪問權。）的訪問權。IIS的安全的安全登錄檢查在很大程度上依賴于登錄檢查在很大程度上依賴于NTF

40、S文件系統(tǒng)，所以文件系統(tǒng)，所以最好將虛擬目錄都建立在最好將虛擬目錄都建立在NTFS驅動器上。驅動器上。 只有當上述五個步驟的檢查全部通過時，該登錄用只有當上述五個步驟的檢查全部通過時，該登錄用戶才會被允許訪問所請求的資源。戶才會被允許訪問所請求的資源。58lASP的安全編程的安全編程 ASP編程中可以使用必要的安全措施以提高站點的安編程中可以使用必要的安全措施以提高站點的安全性，主要包括：全性，主要包括： 1.密碼的保護密碼的保護 密碼是系統(tǒng)中極敏感、關鍵的信息。密碼的提交最密碼是系統(tǒng)中極敏感、關鍵的信息。密碼的提交最好不要采用明文形式，以防被截取。好不要采用明文形式，以防被截取。 59lASP的安全編程的安全編程 2. 對對Session對象的利用對象的利用 利用利用Session對象，當用戶通過安全登錄的檢查后，對象，當用戶通過安全登錄的檢查后，把把Session ID屬性作為一個屬性作為一個Session變量存儲起來。每變量存儲起來。每當用戶試圖導航到要求有效連接的頁面時，就可以當用戶試圖導航到要求有效連接的頁面時，就可以比較當前的比較當前的Session ID與存儲在與存儲在Session對象中的對象中的ID。如果它們不匹配，就可以采取適當?shù)男袆泳芙^訪問。如果它們不匹配，就可以采取適當?shù)男袆泳芙^訪問。 60lASP的安全編程的安全編