web應(yīng)用安全課件

Web應(yīng)用安全

目錄/contents課題背景Web應(yīng)用安全概述常見WEB應(yīng)用安全隱患常見WEB應(yīng)用案例分析Web安全技術(shù)

課題背景

盡管不同的企業(yè)會(huì)有不同的Web環(huán)境搭建方式，一個(gè)典型的Web應(yīng)用通常是標(biāo)準(zhǔn)的三層架構(gòu)模型。由于網(wǎng)絡(luò)技術(shù)日趨成熟，黑客們也將注意力從以往對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì)Web應(yīng)用的攻擊上。根據(jù)Gartner的最新調(diào)查，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用而非網(wǎng)絡(luò)層面上。同時(shí)，數(shù)據(jù)也顯示，三分之二的Web站點(diǎn)都相當(dāng)脆弱，易受攻擊。然而現(xiàn)實(shí)確是，絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，沒有從真正意義上保證Web應(yīng)用本身的安全，給黑客以可乘之機(jī)。Web攻擊事件-跨站攻擊Web攻擊事件-注入式攻擊

隨著web的廣泛應(yīng)用，Internet中與web相關(guān)的安全事故正成為目前所有事故的主要組成部分，由圖可見，與web安全有關(guān)的網(wǎng)頁(yè)惡意代碼和網(wǎng)站篡改事件占據(jù)了所有事件的大部分，web安全面臨嚴(yán)重問題。形式越來(lái)越嚴(yán)重國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心，一度引起中央電視臺(tái)媒體重點(diǎn)關(guān)注；引起國(guó)家司法機(jī)構(gòu)大力整治。目的越來(lái)越利益從網(wǎng)站涂鴉到政府黑站；從到游戲幣到職業(yè)資格證；網(wǎng)銀大盜到網(wǎng)馬頻發(fā)。隊(duì)伍越來(lái)越壯大地下黑客利益鏈門檻越來(lái)越低黑站工具隨手可得；網(wǎng)站漏洞隨處可見；黑客培訓(xùn)基地層出不窮web應(yīng)用安全概況分析

Web組成部分服務(wù)器端（web服務(wù)器）在服務(wù)器結(jié)構(gòu)中規(guī)定了服務(wù)器的傳輸設(shè)定，信息傳輸格式及服務(wù)器本身的基本開放結(jié)構(gòu)客戶端（瀏覽器）客戶端通常稱為web瀏覽器，用于向服務(wù)器發(fā)送資源請(qǐng)求，并將受到的信息解碼顯示。通信協(xié)議（HTTP協(xié)議）HTTP是分布的web應(yīng)用的核心技術(shù)協(xié)議，它定義了web瀏覽器向web服務(wù)器發(fā)送索取web頁(yè)面請(qǐng)求的格式以及web頁(yè)面在internet上的傳輸方式。XSS跨站CSRF網(wǎng)頁(yè)掛馬WebShellSQL注入拒絕服務(wù)釣魚欺騙上傳漏洞常見WEB應(yīng)用安全隱患XSS又叫CSS(CrossSiteScript)，跨站腳本攻擊。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常忽略其危害性。

在XSS攻擊中，一般有三個(gè)角色參與：攻擊者、目標(biāo)服務(wù)器、受害者的瀏覽器?？缯灸_本（XSS）

反射型XSS反射型XSS也被稱為非持久性XSS，是現(xiàn)在最容易出現(xiàn)的一種XSS漏洞。XSS的Payload一般是寫在URL中，之后設(shè)法讓被害者點(diǎn)擊這<script>alert(/xss/)</script>這個(gè)鏈接。存儲(chǔ)型XSS存儲(chǔ)型XSS又被稱為持久性XSS，存儲(chǔ)型XSS是最危險(xiǎn)的一種跨站腳本。存儲(chǔ)型XSS被服務(wù)器端接收并存儲(chǔ)，當(dāng)用戶訪問該網(wǎng)頁(yè)時(shí)，這段XSS代碼被讀出來(lái)響應(yīng)給瀏覽器。反射型XSS與DOM型XSS都必須依靠用戶手動(dòng)去觸發(fā)，而存儲(chǔ)型XSS卻不需要。DOMXSS

DOM的全稱為DocumentObjectModel,即文檔對(duì)象模型?；贒OM型的XSS是不需要與服務(wù)器交互的，它只發(fā)生在客戶端處理數(shù)據(jù)階段。簡(jiǎn)單理解DOMXSS就是出現(xiàn)在javascript代碼中的xss漏洞。如果輸入<script>alert(/xss/)</script>，就會(huì)產(chǎn)生XSS漏洞。這種利用也需要受害者點(diǎn)擊鏈接來(lái)觸發(fā)，DOM型XSS是前端代碼中存在了漏洞，而反射型是后端代碼中存在了漏洞。攻擊流程示意圖相對(duì)SQL注入而言，跨站腳本安全問題和特點(diǎn)更復(fù)雜，這使得對(duì)跨站腳本漏洞的防范難度更大。跨站腳本問題與SQL注入漏洞類似，都是利用程序員編寫腳本或頁(yè)面過(guò)濾不足所導(dǎo)致010203

跨站請(qǐng)求的防范對(duì)于用戶可提交的信息要進(jìn)行嚴(yán)格的過(guò)濾，防止跨站腳本漏洞的產(chǎn)生?？缯菊?qǐng)求偽造CSRF02CSRF（Cross-SiteRequestForgery)即跨站請(qǐng)求偽造，通常縮寫為CSRF或者XSRF，是一種對(duì)網(wǎng)站缺陷的惡意利用。誕生于2000年，火于2007/2008年。CSRF通過(guò)偽裝來(lái)自受信任用戶的請(qǐng)求來(lái)利用受信任的網(wǎng)站，通過(guò)社會(huì)工程學(xué)的手段（如通過(guò)電子郵件發(fā)送一個(gè)鏈接）來(lái)蠱惑受害者進(jìn)行一些敏感性的操作，如修改密碼、修改Ｅ－ｍａｉｌ，轉(zhuǎn)賬等，而受害者還不知道他已經(jīng)中招。CSRF攻擊原理給攻擊者提升權(quán)限越權(quán)執(zhí)行危險(xiǎn)操作增加管理員盜取用戶銀行卡/信用卡CSRF的主要危害情景導(dǎo)入032011年最轟動(dòng)IT界的安全事件是CSDN泄露用戶名和密碼的事件，導(dǎo)致CSDN數(shù)據(jù)庫(kù)中的600多萬(wàn)用戶的登錄名和密碼遭到泄露，后果是CSDN臨時(shí)關(guān)閉系統(tǒng)登錄，進(jìn)行系統(tǒng)恢復(fù)，CSDN用戶暫時(shí)停用。同年3月，一個(gè)被命名為L(zhǎng)izaMoon的SQL注入攻擊席卷全球，許多網(wǎng)站遭到攻擊，網(wǎng)頁(yè)內(nèi)容中被典型ＷＥB應(yīng)用漏洞塞入LizaMoon字符串疑似掛馬鏈接，通過(guò)Google查詢LizaM關(guān)鍵字，被植入而已鏈接的ＵＲＬ數(shù)量在兩天內(nèi)有２８０００個(gè)急速增長(zhǎng)到３８００００.此次LizaMoon攻擊利用了一個(gè)很巧妙的SQL注入，導(dǎo)致全球五萬(wàn)中文網(wǎng)頁(yè)被感染。

通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來(lái)說(shuō)，它是利用現(xiàn)有應(yīng)用程序，將（惡意）的SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力，它可以通過(guò)在Web表單中輸入（惡意）SQL語(yǔ)句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫(kù)，而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語(yǔ)句。SQL注入原理SQL注入實(shí)例詳解1、首先，創(chuàng)建一張實(shí)驗(yàn)用的數(shù)據(jù)表：CREATETABLEusers(`id`int(11)NOTNULLAUTO_INCREMENT,`username`varchar(64)NOTNULL,`password`varchar(64)NOTNULL,`email`varchar(64)NOTNULL,PRIMARYKEY(`id`),UNIQUEKEY`username`(`username`))ENGINE=MyISAMAUTO_INCREMENT=3DEFAULTCHARSET=latin1;2、添加一條記錄用于測(cè)試：INSERT

INTO

users

(username,password,email)VALUES('MarcoFly',md5('test'),'marcofly@');網(wǎng)頁(yè)被惡意篡改在不經(jīng)授權(quán)的情況下操作數(shù)據(jù)庫(kù)中的數(shù)據(jù)私自添加操作系統(tǒng)賬號(hào)和數(shù)據(jù)庫(kù)成員賬號(hào)010203SQL注入危害

網(wǎng)頁(yè)掛馬釣魚欺騙是一種誘騙用戶披露他們的個(gè)人信息，竊取用戶的銀行資料的詐騙手段其他Web滲透攻擊040506SQL注入危害網(wǎng)頁(yè)掛馬指的是把一個(gè)木馬程序上傳到一個(gè)網(wǎng)站里面然后用木馬生成器生一個(gè)網(wǎng)馬，再上到空間里面再加代碼使得木馬在打開網(wǎng)頁(yè)時(shí)運(yùn)行！攻擊目的的明確性，攻擊步驟的逐步與漸進(jìn)性，攻擊手段的多樣性和綜合性。永遠(yuǎn)不要信任用戶的輸入

對(duì)用戶的輸入進(jìn)行校驗(yàn)，可以通過(guò)正則表達(dá)式，或限制長(zhǎng)度；對(duì)單引號(hào)和雙"-"進(jìn)行轉(zhuǎn)換等。永遠(yuǎn)不要使用動(dòng)態(tài)拼裝sql可以使用參數(shù)化的sql或者直接使用存儲(chǔ)過(guò)程進(jìn)行數(shù)據(jù)查詢存取。永遠(yuǎn)不要使用管理員權(quán)限的數(shù)據(jù)庫(kù)連接為每個(gè)應(yīng)用使用單獨(dú)的權(quán)限有限的數(shù)據(jù)庫(kù)連接。SQL的防范措施情景導(dǎo)入0411年的時(shí)候，當(dāng)當(dāng)網(wǎng)（）存在一個(gè)公開的HTTP接口myaddress.aspx。此接口根據(jù)接收的參數(shù)addressid來(lái)返回json對(duì)/值形式的消費(fèi)者收貨地址數(shù)據(jù)，然后在前端頁(yè)面上由Javascript解析進(jìn)行輸出。這是一個(gè)很多同類電子商務(wù)類網(wǎng)站都會(huì)用到的一個(gè)普通功能。在漏洞報(bào)告中，測(cè)試人員利用傳入?yún)?shù)的可遍歷性(識(shí)別不同用戶的整型參數(shù)addressid)，通過(guò)改變輸入不同的addressid參數(shù)，并且利用自動(dòng)化腳本或者工具進(jìn)Fuzzing暴力測(cè)試，順利的遍歷輸出其他用戶的個(gè)人信息及隱私。這是一個(gè)典型的越權(quán)訪問案例。修復(fù)方案也非常簡(jiǎn)單，在WebServer上對(duì)HttpRequest請(qǐng)求和當(dāng)前的用戶身份進(jìn)行校驗(yàn)。28%39%33%越權(quán)訪問存在形式1.非法用戶的越權(quán)訪問2.合法用戶的越權(quán)訪問什么是越權(quán)訪問？越權(quán)訪問(BrokenAccessControl,簡(jiǎn)稱BAC)，顧名思義即是跨越權(quán)限訪問，是一種在web程序中常見的安全缺陷越權(quán)訪問的原理是對(duì)用戶提交的參數(shù)不進(jìn)行權(quán)限檢查和跨域訪問限制而造成的。

越權(quán)訪問01

web服務(wù)器安全技術(shù)

web應(yīng)用服務(wù)安全技術(shù)

web瀏覽器安全技術(shù)0203web安全技術(shù)web服務(wù)器安全技術(shù)Web防護(hù)課通過(guò)多種手段實(shí)現(xiàn)，這主要包括：安全配置web服務(wù)器、網(wǎng)頁(yè)防篡改技術(shù)、反向代理技術(shù)、蜜罐技術(shù)。安全配置web服務(wù)器充分利用web服務(wù)器本身?yè)碛械娜缰髂夸洐?quán)限設(shè)定、用戶訪問控制、ip地址許可等安全機(jī)制，進(jìn)行合理的有效的配置，確保web服務(wù)的訪問安全。網(wǎng)頁(yè)防篡改技術(shù)將網(wǎng)頁(yè)監(jiān)控與恢復(fù)結(jié)合在一起，通過(guò)對(duì)網(wǎng)站進(jìn)行實(shí)時(shí)監(jiān)控，主動(dòng)發(fā)現(xiàn)網(wǎng)頁(yè)頁(yè)面內(nèi)容是否被非法改動(dòng)，一旦被非法篡改，可立即恢復(fù)被篡改的網(wǎng)頁(yè)。蜜罐技術(shù)蜜罐系統(tǒng)通過(guò)模擬web服務(wù)器的行為，可以判別訪問是否對(duì)應(yīng)用服務(wù)器及后臺(tái)后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)有害，能有效地防范各種已知及未知的攻擊行為。對(duì)于通常的網(wǎng)站或郵件服務(wù)器，攻擊流量通常會(huì)被合法流量所淹沒。而蜜罐進(jìn)出的數(shù)據(jù)大部分是攻擊流量，因而，瀏覽數(shù)據(jù)、查明攻擊者的實(shí)際行為也就容易多了。Web應(yīng)用服務(wù)安全技術(shù)主要包括身份認(rèn)真玩那個(gè)技術(shù)、訪問控制技術(shù)、數(shù)據(jù)保護(hù)技術(shù)、安全代碼技術(shù)身份認(rèn)證技術(shù)身份認(rèn)證作為電子商務(wù)、網(wǎng)絡(luò)銀行應(yīng)用中最重要的安全技術(shù)，目前主要有三種形式：簡(jiǎn)單身份認(rèn)證（賬號(hào)/口令）、強(qiáng)度身份認(rèn)證（公鑰/私鑰）、基于生物特征的身份認(rèn)證訪問控制技術(shù)指通過(guò)某種途徑，準(zhǔn)許或者限制訪問能力和范圍的一種方法。通過(guò)訪問控制，可以限制對(duì)關(guān)鍵資源和敏感數(shù)據(jù)的訪問，防止非法用戶的入侵和合法用戶的誤操作導(dǎo)致的破壞。數(shù)據(jù)保護(hù)技術(shù)主要采用的是數(shù)據(jù)加密技術(shù)。安全代碼技術(shù)指的是在應(yīng)用服務(wù)代碼編寫過(guò)程中引入安全編程的思想，使得編寫的代碼免受隱形字段攻擊、溢出攻擊、參數(shù)篡改攻擊的技術(shù)。web瀏覽器安全技術(shù)瀏覽器實(shí)現(xiàn)升級(jí)用戶應(yīng)該經(jīng)常使用最新的補(bǔ)丁升級(jí)瀏覽器。Java安全限制Java在最初設(shè)計(jì)時(shí)便考慮了安全。如Java的