系統(tǒng)安全培訓(xùn)-Web安全性_第1頁(yè)
系統(tǒng)安全培訓(xùn)-Web安全性_第2頁(yè)
系統(tǒng)安全培訓(xùn)-Web安全性_第3頁(yè)
系統(tǒng)安全培訓(xùn)-Web安全性_第4頁(yè)
系統(tǒng)安全培訓(xùn)-Web安全性_第5頁(yè)
已閱讀5頁(yè),還剩31頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、系統(tǒng)安全培訓(xùn)-Web安全性系統(tǒng)安全Web2014年7月系統(tǒng)安全培訓(xùn)-Web安全性2014中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急年會(huì)資料系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之一SQL注入n什么是 SQL Injection: (SQL注入)就是攻擊者把SQL命令插入到Web表單的輸入域或頁(yè)面請(qǐng)求的查詢字符串,欺騙服務(wù)器執(zhí)行惡意的SQL命令。簡(jiǎn)而言之,是在輸入的數(shù)據(jù)字符串中夾帶SQL指令,在設(shè)計(jì)不良的程序中忽略了檢查,那么在這些夾帶的指令就會(huì)被數(shù)據(jù)庫(kù)服務(wù)器誤認(rèn)為是正常的SQL指令而運(yùn)行,因此招致到破壞系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之一SQL注入nSQL Injection: (SQL注入)SQL注入是最常見

2、的攻擊方式,它的主要原理是:攻擊者通過改變WEB頁(yè)的參數(shù),直接將SQL片斷提交到服務(wù)器,并在服務(wù)器端執(zhí)行的過程。系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之一SQL注入nSQL注入的原因1、在應(yīng)用程序中使用字符串聯(lián)結(jié)方式組合SQL指令2、在應(yīng)用程序鏈接數(shù)據(jù)庫(kù)時(shí)使用權(quán)限過大的帳號(hào)(例如使用SA)3、在數(shù)據(jù)庫(kù)中開放了不必要但權(quán)力過大的功能(如,在SQLServer中的的xp_cmdshell延伸預(yù)存程序或是OLE Automation預(yù)存程序等)4、太過于信任用戶所輸入的數(shù)據(jù),未限制輸入的字符數(shù)系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之一SQL注入nSQL注入的危害修改數(shù)據(jù)庫(kù)內(nèi)容刪除其它表竊取數(shù)據(jù)到本地執(zhí)行

3、系統(tǒng)命令,進(jìn)而修改或控制操作系統(tǒng)、破壞硬盤數(shù)據(jù)等n特點(diǎn)攻擊耗時(shí)少、危害大系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之一SQL注入n問題代碼(ASP+MS SQL Server)if Request.QueryString(id) is NoThing then id=1else id=Request.QueryString(id)end ifsql=select title,content from news where id=&idset rs=Server.CreateObject(adodb.Recordset)rs.Open sql,connection,1,1系統(tǒng)安全培訓(xùn)-Web安全性安全

4、性問題之一SQL注入n修改數(shù)據(jù)庫(kù)內(nèi)容提交語句1;update news set title=test where title=oldtitle執(zhí)行語句:select title,content from news where id=1;update news set title=test where title=oldtitle系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之一SQL注入n刪除其它表提交語句1;drop table tablename執(zhí)行語句:select title,content from news where id=1;drop table tablename系統(tǒng)安全培訓(xùn)-Web安

5、全性服務(wù)器返回的錯(cuò)誤信息關(guān)鍵文件路徑系統(tǒng)安全培訓(xùn)-Web安全性服務(wù)器返回的錯(cuò)誤信息系統(tǒng)安全培訓(xùn)-Web安全性如何預(yù)防SQL注入?n 從應(yīng)用程序的角度來講,我們要做以下三項(xiàng)工作:n1. 轉(zhuǎn)義敏感字符及字符串(SQL的敏感字符包括:n“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”/”,”.”,”;”,”,”-”,”%”,”0 x”,”=!-*/()|”,和”空格”)。n2. 屏蔽出錯(cuò)信息:阻止攻擊者知道攻擊的結(jié)果n3. 服務(wù)端正式處理之前對(duì)提交數(shù)據(jù)的合法性進(jìn)行檢查(包括:數(shù)據(jù)類型,數(shù)據(jù)長(zhǎng)度,敏感字符的校驗(yàn)) 。在確認(rèn)客戶端的輸入合法之前,服務(wù)端拒絕

6、進(jìn)行關(guān)鍵性的處理操作。系統(tǒng)安全培訓(xùn)-Web安全性如何預(yù)防SQL注入?n從實(shí)際應(yīng)用還需要注意:n1. 只要是提交的數(shù)據(jù)包含非法字符,或者要替換為安全字符,或者提交的數(shù)據(jù)要替換為默認(rèn)值。n2. 含有非法字符串的數(shù)據(jù)提交不應(yīng)該顯示“您所提交的數(shù)據(jù)非法”等類似的提示。因?yàn)閷?duì)于訪問者而言,這是沒有必要的。n3. 盡可能完善操作日志記錄和錯(cuò)誤日記記錄。 系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之二上傳文件漏洞n偽造客戶端繞過上傳后綴名檢查n可能導(dǎo)致上傳木馬n解決方法:使用白名單,后臺(tái)檢查系統(tǒng)安全培訓(xùn)-Web安全性防止木馬執(zhí)行的方法n給各個(gè)不必要的目錄,去掉“執(zhí)行”權(quán)限;刪除不需要的程序映射。系統(tǒng)安全培訓(xùn)-We

7、b安全性安全性問題之三XSSnCross-Site Scripting (XSS):(跨站點(diǎn)腳本攻擊)XSS是由于Web程序沒有對(duì)用戶提交的HTML內(nèi)容進(jìn)行適當(dāng)?shù)倪^濾,這樣攻擊者就可能在你的Web頁(yè)中插入一些HTML語句,這些語句通過以標(biāo)簽的形式出現(xiàn)。攻擊者通常使用跨站腳本攻擊來竊取COOKIES 和 SESSION信息,或是欺騙用戶將隱私信息暴露給錯(cuò)誤對(duì)象(又稱為釣魚) 。系統(tǒng)安全培訓(xùn)-Web安全性問題三XSS Results for window.open(? . document.cookie .) Attack Server受害人服務(wù)器 受害人客戶端 user gets bad lin

8、kuser clicks on linkvictim echoes user input ? term = . 系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之三XSSn跨站腳本XSS利用示例Cookie、Sessionn會(huì)話CookieASPSESSIONIDXXXXXXXX、JSESSIONID、PHPSESSID系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之三XSSn在html編輯輸入:顯示cookie系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之四SCRFnCross-Site Request Forgery (SCRF):(跨站點(diǎn)請(qǐng)求偽造) SCRF的特性就是利用網(wǎng)站對(duì)用戶標(biāo)識(shí)的信任,欺騙用戶的瀏覽器發(fā)送HT

9、TP請(qǐng)求給目標(biāo)站點(diǎn)。系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之四SCRFn瀏覽器和網(wǎng)站建立認(rèn)證的會(huì)話Web瀏覽器跟可信的站點(diǎn)建立了一個(gè)經(jīng)認(rèn)證的會(huì)話之后,只要是通過該Web瀏覽器這個(gè)認(rèn)證的會(huì)話所發(fā)送的請(qǐng)求,都被視為可信的動(dòng)作。系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之四SCRFn瀏覽器發(fā)送有效的請(qǐng)求瀏覽器正在發(fā)送一個(gè)有效的請(qǐng)求,即Web瀏覽器企圖執(zhí)行一個(gè)可信的動(dòng)作??尚诺恼军c(diǎn)經(jīng)確認(rèn)發(fā)現(xiàn),該Web瀏覽器已通過認(rèn)證,所以該動(dòng)作將被執(zhí)行。系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之四SCRFn惡意站點(diǎn)偽造的有效請(qǐng)求圖中,發(fā)生了一個(gè)SCRF攻擊。發(fā)起攻擊的站點(diǎn)致使瀏覽器向可信的站點(diǎn)發(fā)送一個(gè)請(qǐng)求。該可信的站點(diǎn)認(rèn)為,來自

10、該Web瀏覽器的請(qǐng)求都是經(jīng)過認(rèn)證的有效請(qǐng)求,所以執(zhí)行這個(gè)“可信的動(dòng)作”。SCRF攻擊之所以會(huì)發(fā)生,其根本原因就是Web站點(diǎn)所驗(yàn)證的是Web瀏覽器而非用戶本身。系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之四SCRFn假如張三在瀏覽目標(biāo)站點(diǎn)A,那么站點(diǎn)A便會(huì)給張三的瀏覽器一個(gè)cookie,用于存放一個(gè)偽隨機(jī)數(shù)作為會(huì)話標(biāo)識(shí)符sid,以跟蹤她的會(huì)話。該站點(diǎn)會(huì)要求張三進(jìn)行登錄,當(dāng)她輸入有效的用戶名和口令時(shí),該站點(diǎn)會(huì)記錄這樣一個(gè)事實(shí):張三已經(jīng)登錄到會(huì)話sid。當(dāng)張三發(fā)送一個(gè)請(qǐng)求到站點(diǎn)A時(shí),她的瀏覽器就會(huì)自動(dòng)地發(fā)送包含sid的會(huì)話cookie。之后,站點(diǎn)A就會(huì)使用站點(diǎn)的會(huì)話記錄來識(shí)別該會(huì)話是否來自張三。系統(tǒng)安全培

11、訓(xùn)-Web安全性安全性問題之四SCRFn現(xiàn)在,我們假設(shè)張三訪問了一個(gè)惡意站點(diǎn)B,該站點(diǎn)提供的內(nèi)容中的JavaScript代碼或者圖像標(biāo)簽會(huì)導(dǎo)致張三的瀏覽器向站點(diǎn)A發(fā)送一個(gè)HTTP請(qǐng)求。由于該請(qǐng)求是發(fā)給站點(diǎn)A的,所以張三的瀏覽器自動(dòng)地給該請(qǐng)求附上與站點(diǎn)A對(duì)應(yīng)的該會(huì)話cookie的sid。站點(diǎn)A看到該請(qǐng)求時(shí),它就能通過該cookie的推斷出:該請(qǐng)求來自張三,所以站點(diǎn)A就會(huì)對(duì)張三的帳戶執(zhí)行所請(qǐng)求的操作。這樣,SCRF攻擊就能得逞了。系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之四SCRFn客戶端 (認(rèn)證)服務(wù)器nCookie: sidn第三方站點(diǎn)客戶端 (惡意命令請(qǐng)求)服務(wù)器n第三方站點(diǎn)內(nèi)容:n指令:張三的

12、賬戶A向賬號(hào)B轉(zhuǎn)賬,交易金額1000系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之四SCRFn總之,只要身份認(rèn)證是隱式進(jìn)行的,就會(huì)存在SCRF攻擊的危險(xiǎn),因?yàn)闉g覽器發(fā)出請(qǐng)求這一動(dòng)作未必是受用戶的指使。n原則上,這種威脅可以通過對(duì)每個(gè)發(fā)送至該站點(diǎn)的請(qǐng)求都要求用戶進(jìn)行顯式的、不可欺騙的動(dòng)作(比如重新輸入用戶名和口令)來消除,但實(shí)際上這會(huì)導(dǎo)致嚴(yán)重的易用性問題。n大部分標(biāo)準(zhǔn)和廣泛應(yīng)用的認(rèn)證機(jī)制都無法防止CSRF攻擊。系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之四SCRFnSCRF成功發(fā)動(dòng)攻擊前提是,用戶必須已經(jīng)登錄到目標(biāo)站點(diǎn),并且必須瀏覽了攻擊者的站點(diǎn)或被攻擊者部分控制的站點(diǎn)。系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之

13、四SCRFnSCRF和XSS攻擊的區(qū)別在于,XSS攻擊需要JavaScript,而CSRF攻擊不需要;XSS攻擊要求站點(diǎn)接受惡意代碼,而對(duì)于SCRF攻擊來說,惡意代碼位于第三方站點(diǎn)上。n防御XSS攻擊的措施無法保護(hù)站點(diǎn)不受SCRF攻擊的危害。如果站點(diǎn)具有XSS攻擊漏洞,那么它也有SCRF攻擊漏洞。但是,即使站點(diǎn)針對(duì)XSS攻擊采取了全面保護(hù),卻仍然面臨SCRF攻擊的威脅。系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之五XSIOnCross Site Image Overlaying (XSIO) :跨站圖像疊加XSIO是因?yàn)闆]有限制圖片的position屬性為absolute,導(dǎo)致可以控制一張圖片出現(xiàn)在

14、網(wǎng)頁(yè)的任意位置。那么我們就可以用這張圖片去覆蓋網(wǎng)頁(yè)上的任意一個(gè)位置(link、button)。這就可以導(dǎo)致頁(yè)面破壞。而給圖片設(shè)置一個(gè)鏈接后,很顯然就可以起到一個(gè)釣魚的作用。由于對(duì)正常的HTML 標(biāo)簽是沒有做過濾的,所以我們可以用這些標(biāo)簽或CSS樣式來實(shí)施XSIO攻擊。系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之六XSIOnCross Site Image Overlaying (XSIO) :跨站圖像疊加n測(cè)試方法:系統(tǒng)安全培訓(xùn)-Web安全性安全性問題之六XSIO跨站圖像疊加 系統(tǒng)安全培訓(xùn)-Web安全性安全性問題的根源n客戶端數(shù)據(jù)的不可信任性。nNever under any circumstanc

15、es trust data from the browser.(從不要相信來自瀏覽器端的數(shù)據(jù),因?yàn)槟阌肋h(yuǎn)不可能知道在瀏覽器進(jìn)行數(shù)據(jù)操作是你的用戶還是正在尋找攻擊漏洞的黑客) n不信任客戶端如何交換數(shù)據(jù)?系統(tǒng)安全培訓(xùn)-Web安全性解決方法:安全性測(cè)試n安全性測(cè)試是一個(gè)很大的題目,首先取決于要達(dá)到怎樣的安全程度。不要期望網(wǎng)站可以達(dá)到100%的安全。系統(tǒng)安全培訓(xùn)-Web安全性解決方法:安全性測(cè)試n(1)如何進(jìn)行XSS測(cè)試?首先,找到帶有參數(shù)傳遞的URL,如登錄頁(yè)面,搜索頁(yè)面,提交評(píng)論,發(fā)表留言頁(yè)面等等。其次,在頁(yè)面參數(shù)中輸入如下語句(如:Javascript,VB script, HTML,ActiveX, Flash)來進(jìn)行測(cè)試:alert(document.cookie)系統(tǒng)安全培訓(xùn)-Web安全性解決方法:安全性測(cè)試n (2)如何預(yù)防XSS

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論