《網(wǎng)絡(luò)空間安全導(dǎo)論》 課件 25-系統(tǒng)安全05-Web安全

Web技術(shù)發(fā)展了解Web的發(fā)展背景熟悉Web的架構(gòu)熟悉Web應(yīng)用的發(fā)展歷程熟悉新形勢下的安全問題教學(xué)目標Web起源Web架構(gòu)Web應(yīng)用發(fā)展歷程新的安全問題目錄Web起源Web（WorldWideWeb），即全球廣域網(wǎng)，也稱WWW或萬維網(wǎng)。Web是一種基于超文本和HTTP的、全球性的、動態(tài)交互的、跨平臺的分布式圖形信息系統(tǒng)；是建立在Internet上的一種網(wǎng)絡(luò)服務(wù)，為瀏覽者在Internet上查找和瀏覽信息提供了圖形化的、易于訪問的直觀界面，其中的文檔及超級鏈接將Internet上的信息節(jié)點組織成一個互為關(guān)聯(lián)的網(wǎng)狀結(jié)構(gòu)。Web起源

WorldWideWeb最初設(shè)想：借助多文檔之間相互關(guān)聯(lián)形成超文本（HyperText），連成可互相參閱的萬維網(wǎng)（WWW）。1989年，CERN（歐洲核子研究組織）由TimBerners-Lee領(lǐng)導(dǎo)的小組，提交了一個針對Internet的新協(xié)議和一個使用該協(xié)議的文檔系統(tǒng)。該小組將這個新系統(tǒng)命名為WordWideWeb，它的目的在于使全球的科學(xué)家能夠利用Internet交流自己的工作文檔。這個新系統(tǒng)被設(shè)計為允許Internet上任意一個用戶都可以從許多文檔服務(wù)計算機的數(shù)據(jù)庫中搜索和獲取文檔。Timberners-leeWeb起源

WorldWideWeb1989年3月12日，實現(xiàn)了超文本傳輸協(xié)議(HTTP)客戶端和服務(wù)器之間通過互聯(lián)網(wǎng)的第一次成功通信。1990年11月，這個新系統(tǒng)的基本框架已經(jīng)在CERN中的一臺計算機中開發(fā)出來并實現(xiàn)了，成功研發(fā)了世界第一臺Web服務(wù)器和Web瀏覽器。1991年該系統(tǒng)移植到了其他計算機平臺，并正式發(fā)布。HTML、HTTP、URI、瀏覽器、Web服務(wù)器，就此發(fā)明問世。Web起源

Web核心組成URI（統(tǒng)一資源標識符）：解決了文檔的命名和尋址識別問題HTTP（超文本傳輸協(xié)議）：解決了瀏覽器與服務(wù)器應(yīng)用層之間的交流問題HTML（超文本標記語言）：定義了超文本文檔的表示瀏覽器用于發(fā)起請求，并且解析文檔服務(wù)器用于保存文檔Web架構(gòu)操作系統(tǒng)：windows、linux存儲：數(shù)據(jù)庫存儲、內(nèi)存存儲、文件存儲Web容器：Tomcat、WeblogicWeb服務(wù)器：Apache、IIS、NginxWeb服務(wù)端語言：PHP、ASP、JavaWeb開發(fā)框架：ThinkPHP、Django、Struts2軟件系統(tǒng)：CMS、BBS、BlogWeb前端框架：HTML5、jQuery、Bootstrap第三方內(nèi)容：廣告統(tǒng)計、mockupWeb架構(gòu)Web架構(gòu)操作系統(tǒng)概念操作系統(tǒng)（OperatingSystem，OS）是一種軟件（計算機由硬件和軟件組成），它是硬件基礎(chǔ)上的第一層軟件，是硬件和其它軟件溝通的橋梁，為了方便使用，承上啟下（類比于：接口、中間人、中介等）作用操作系統(tǒng)會控制其他程序運行，管理系統(tǒng)資源，提供最基本的計算功能，如管理及配置內(nèi)存、決定系統(tǒng)資源供需的優(yōu)先次序等，提供一些基本的服務(wù)程序舉例Windows、Linux、MacOS等Web架構(gòu)存儲概念現(xiàn)代信息技術(shù)中用于保存信息的記憶設(shè)備用于存儲的設(shè)備被稱作為存儲介質(zhì)用于規(guī)定、管理存儲的軟件，稱為存儲管理系統(tǒng)作用按照一定的約定，有規(guī)律的存放數(shù)字信息舉例內(nèi)存、硬盤、U盤、數(shù)據(jù)庫（sql、mysql、oracle）等Web架構(gòu)Web服務(wù)器概念對外提供靜態(tài)頁面Web服務(wù)的軟件系統(tǒng)作用處理HTTP協(xié)議接收、處理、發(fā)送靜態(tài)頁面處理并發(fā)、負載均衡舉例Apache、IIS、Nginx等Web架構(gòu)Web容器概念為了滿足交互操作，獲取動態(tài)結(jié)果，而提供的一些擴展機制能夠讓HTTP服務(wù)器調(diào)用服務(wù)端程序。作用處理動態(tài)頁面請求（解釋器），如asp、jsp、php、cgi舉例Tomcat、weblogic、Jboss、Webshere等Web架構(gòu)Web服務(wù)端語言概念用于提供Web頁面的自定義功能，專業(yè)處理互聯(lián)網(wǎng)通信，使用網(wǎng)頁瀏覽器作為用戶界面。作用可以動態(tài)地編輯、修改或添加網(wǎng)頁內(nèi)容?？梢詫τ脩魪腍TML提交的查詢或數(shù)據(jù)進行響應(yīng)，訪問數(shù)據(jù)或數(shù)據(jù)庫，并把結(jié)果返回到瀏覽器。也可以訪問文件或XML數(shù)據(jù)，并把結(jié)果返回到瀏覽器，把XML轉(zhuǎn)換為HTML，并把結(jié)果返回到瀏覽器。還可以為不同的用戶定制頁面，提高頁面的可用性，對不同的網(wǎng)頁提供安全的訪問控制，為不同類型的瀏覽器設(shè)計不同的輸出等。舉例PHP、ASP、JAVA等Web架構(gòu)Web開發(fā)框架概念類似于模板，用來支持動態(tài)網(wǎng)站、網(wǎng)絡(luò)應(yīng)用程序及網(wǎng)絡(luò)服務(wù)的開發(fā)。作用提高Web開發(fā)效率，降低開發(fā)難度舉例PHP的thinkphp、Java的Struts2、Spring等Web架構(gòu)軟件系統(tǒng)舉例cms、bbs、blog、Wordpress等區(qū)別框架就是將一些常用操作封裝起來，并給合一些設(shè)計模式，用來規(guī)范和簡化程序員的開發(fā)流程；而cms等軟件系統(tǒng)一般都屬于一個完整的系統(tǒng)，有頁面、有數(shù)據(jù)庫，部署在站點上之后就能直接通過瀏覽器地址來訪問，可以基于框架開發(fā)。Web架構(gòu)訪問流程訪問URL：域名解析建立TCP連接發(fā)送HTTP請求服務(wù)器響應(yīng)關(guān)閉TCP連接用戶瀏覽器渲染頁面Web應(yīng)用發(fā)展歷程Web應(yīng)用發(fā)展歷程早期靜態(tài)頁面無認證頁面實際存在通過URL地址訪問瀏覽器直接解析,無需服務(wù)器解釋或者編譯只能返回純文本（靜態(tài)的）文件信息是從服務(wù)端到客戶端，單向傳遞，不支持動態(tài)交互修改復(fù)雜Web應(yīng)用發(fā)展歷程早期靜態(tài)頁面Web應(yīng)用發(fā)展歷程無法獲取敏感信息早期web站點入侵歪曲網(wǎng)站內(nèi)容傳播非常內(nèi)容暗鏈反動黑頁Web應(yīng)用發(fā)展歷程動態(tài)頁面隨著Web的發(fā)展，產(chǎn)生了交互的需求，信息要在客戶端和服務(wù)端之間雙向流動，也就是動態(tài)網(wǎng)頁的概念；所謂動態(tài)就是利用flash、php、asp、Java等技術(shù)在網(wǎng)頁中嵌入一些可運行的腳本，用戶瀏覽器在解釋頁面時，遇到腳本就啟動運行它。動態(tài)腳本的使用讓W(xué)eb服務(wù)模式有了“雙向交流”的能力，Web服務(wù)模式也可以像傳統(tǒng)軟件一樣進行各種事務(wù)處理，如編輯文件、利息計算、提交表單等，Web架構(gòu)的適用面大大擴展。這些動態(tài)腳本可以嵌入在頁面中，如JS等。也可以以文件的形式單獨存放在Web服務(wù)器的目錄里，如.asp、.php、jsp文件等。這樣功能性的腳本越來越多，形成常用的工具包，單獨管理。Web業(yè)務(wù)開發(fā)時，直接使用就可以了，這就是中間件服務(wù)器，它實際上是Web服務(wù)器處理能力的擴展。Web應(yīng)用發(fā)展歷程動態(tài)頁面網(wǎng)頁數(shù)據(jù)具備動態(tài)交互功能后臺具備數(shù)據(jù)處理能力強大數(shù)據(jù)庫作支撐動態(tài)頁面的優(yōu)勢減少網(wǎng)頁的數(shù)量增加前后臺交互能力拓展網(wǎng)站能力新的安全問題Web應(yīng)用指采用B/S架構(gòu)、通過HTTP/HTTPS協(xié)議提供服務(wù)的統(tǒng)稱。隨著互聯(lián)網(wǎng)的廣泛使用，Web應(yīng)用已經(jīng)融入到日常生活中的各個方面：網(wǎng)上購物、網(wǎng)絡(luò)銀行應(yīng)用、證券股票交易、政府行政審批等等。在這些Web訪問中，大多數(shù)應(yīng)用不是靜態(tài)的網(wǎng)頁瀏覽，而是涉及到服務(wù)器端的動態(tài)處理。此時，如果Java、PHP、ASP等程序語言的編程人員的安全意識不足，對程序參數(shù)輸入等檢查不嚴格等，就會導(dǎo)致Web應(yīng)用安全問題層出不窮。新的安全問題SQL注入：針對數(shù)據(jù)庫XSS：竊取管理員賬戶或Cookie，冒充管理員身份登錄后臺具有操作后臺數(shù)據(jù)的能力，包括讀取、更改、添加、刪除一些信息文件上傳：上傳惡意文件…Web起源Web架構(gòu)Web應(yīng)用發(fā)展歷程新的安全問題總結(jié)Web安全概述了解中國黑客的發(fā)展了解Web安全的發(fā)展熟練分析Web事件教學(xué)目標中國黑客的發(fā)展Web安全發(fā)展Web安全事件分析目錄中國黑客的發(fā)展隨著Web2.0、社交網(wǎng)絡(luò)、微博等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛，企業(yè)信息化的過程中各種應(yīng)用都架設(shè)在Web平臺上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強烈關(guān)注。接踵而至的就是Web安全威脅的凸顯，黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害?；ヂ?lián)網(wǎng)剛剛開始是安全的，但是伴隨著黑客（Hacker）的誕生，互聯(lián)網(wǎng)變得越來越不安全。中國黑客的發(fā)展黑客一詞來源于“Hacker”，通常指對于計算機系統(tǒng)有深入的理解，能夠發(fā)現(xiàn)其中的問題。“Hacker”在中國按照音譯，被稱為“黑客”。在計算機安全領(lǐng)域，黑客是一群破壞規(guī)則、不喜歡被約束的人，因此總想著能夠找到系統(tǒng)的漏洞，以獲得一些規(guī)則之外的權(quán)力?！昂诳汀边@個詞并非源于計算機，而是源于1961年（60年代）麻省理工學(xué)院（MIT）的技術(shù)模型鐵路俱樂部，當時俱樂部成員們?yōu)樾薷墓δ芏诹怂麄兊母呖萍剂熊嚱M。從玩具列車推進到了計算機領(lǐng)域，這些MIT學(xué)生以及其他早期黑客，僅僅對探索、改進和測試現(xiàn)有程序的極限感興趣。某些情況下，這些黑客甚至產(chǎn)生了比先前程序好的多的程序，比如丹尼斯·里奇和基斯·湯普森的UNIX操作系統(tǒng)。中國黑客的發(fā)展計算機黑客持續(xù)繁榮演進到70年代，催生了新一類的黑客：玩弄電話系統(tǒng)的黑客，也稱“飛客”。比如約翰·德拉浦，利用的是電話交換網(wǎng)絡(luò)的操作特性，可以愚弄電話交換網(wǎng)絡(luò)，免費享用長途通話。如今的電話交換網(wǎng)絡(luò)已經(jīng)完全電子化了。80年代時黑客歷史的分水嶺，因為此時完備的個人計算機被引入了公眾視野。個人電腦的廣泛普及，引爆了黑客的快速增長。雖然仍有大量黑客專注于改進操作系統(tǒng)，但更關(guān)注個人所得的新一類黑客也漸漸浮出水面，他們將自己的技術(shù)用于犯罪活動，包括盜版軟件、創(chuàng)建病毒和侵入系統(tǒng)盜取敏感信息等。中國黑客的發(fā)展在黑客的世界里，有的黑客精通計算機技術(shù)，能自己挖掘漏洞，并編寫exploit；有的黑客只對攻擊本身感興趣，對計算機原理和各種編程技術(shù)的了解比較粗淺，只懂得利用別人的代碼，自己并沒有動手能力，這種黑客被稱為“ScriptKids”，即腳本小子。在現(xiàn)實世界里，真正造成破壞的，往往并非那些挖掘并研究漏洞的“黑客”們，而是腳本小子。在目前已經(jīng)形成產(chǎn)業(yè)的計算機犯罪、網(wǎng)絡(luò)犯罪中，造成主要破壞的，也是這些腳本小子。中國黑客的發(fā)展中國黑客發(fā)展史一共經(jīng)歷了三個時代：啟蒙時代黃金時代黑暗時代中國黑客的發(fā)展啟蒙時代20世紀90年代，此時中國得互聯(lián)網(wǎng)剛剛起步，是中國互聯(lián)網(wǎng)開始發(fā)展的萌芽時期，一些熱愛新興技術(shù)的青年受到國外黑客技術(shù)的影響，開始研究安全漏洞，大多都是個人愛好。這個時期，各地電腦發(fā)燒友最大的樂趣就是復(fù)制一些小游戲和DOS等軟件產(chǎn)品，這一類被稱為“竊客”。隨著中國大中城市互聯(lián)網(wǎng)的信息港已經(jīng)初具規(guī)模，在這樣的環(huán)境條件下，產(chǎn)生了眾多的黑客，他們掌握的技術(shù)主要是郵箱炸彈，后來誕生了特洛伊木馬，也就是網(wǎng)絡(luò)間諜NetSpy，隨后少量的國產(chǎn)工具開始小范圍流行于中國黑客之間。這些黑客起初都是對計算機領(lǐng)域的愛好、好奇心和強烈的求知欲，他們崇尚自由、喜歡分享，經(jīng)驗和資源都是免費提供，技術(shù)在他們看上去是最有價值的。中國黑客的發(fā)展黃金時代以2001年4月4日開始的“中美黑客大戰(zhàn)”作為標志，在這個背景下，黑客這個特殊的群體一下子幾乎引起了社會的所有眼球。此次黑客大戰(zhàn)主要在各自的互聯(lián)網(wǎng)上植入一些出氣的文章和頁面。中美黑客大戰(zhàn)真實還原場景中國黑客的發(fā)展黃金時代以上是一些真實的場景，比如美國的某個網(wǎng)名，打開他們的電商網(wǎng)站，就會彈出類似窗口。此時黑客圈子所宣揚的文化以及黑客技術(shù)的獨特魅力，吸引了無數(shù)青少年走上這條道路。此后，各種黑客組織雨后春筍般的冒出。此階段的中國黑客，由于新人較多，雖然有活力和激情，但是技術(shù)上還不夠成熟。所謂林子大了，什么鳥都有，此時期在黑客圈子里販賣漏洞，惡意軟件的現(xiàn)象就開始升溫，群體良莠不齊，也就開始出現(xiàn)了以營利為目的的攻擊行為，黑色產(chǎn)業(yè)鏈逐漸成型。中國黑客的發(fā)展黑暗時代在這個時期，黑客也循著社會的發(fā)展規(guī)律，優(yōu)勝劣汰，大多是黑客組織并沒有堅持下來。在上個時期的黑客技術(shù)論壇越來越缺少人氣，最終走向沒落。所有門戶型的漏洞披露站點，也不再公布任何漏洞相關(guān)的技術(shù)細節(jié)。隨著安全行業(yè)發(fā)展，黑客的功利性越來越強。黑色產(chǎn)業(yè)鏈開始成熟。這個地下產(chǎn)業(yè)每年會給互聯(lián)網(wǎng)造成數(shù)十億甚至百億的損失。在上一個時期技術(shù)還不成熟的黑客們，凡是堅持下來的，都已經(jīng)成長為安全領(lǐng)域的高級人才，有的在安全公司貢獻著自己的專業(yè)技能，有的則帶著非常強的技術(shù)進入了黑色產(chǎn)業(yè)。此時期的黑客群體，因為互相之間不再具有開發(fā)和分享的精神，最為純粹的黑客精神實質(zhì)上已經(jīng)死亡。中國黑客的發(fā)展黑暗時代如今的黑客隊伍，會分為三種顏色的帽子。黑帽子：利用黑客技術(shù)造成破壞，轉(zhuǎn)為黑色產(chǎn)業(yè)，提供資源，販賣漏洞，給商業(yè)帶來損失，甚至進行網(wǎng)絡(luò)犯罪；灰帽子：白天良好公民，正常上班，半夜干壞事；白帽子：從事網(wǎng)絡(luò)安全行業(yè)，針對攻擊手段制作防護工具和解決方案，工作在反黑客領(lǐng)域。Web安全發(fā)展在早期互聯(lián)網(wǎng)中，Web并非互聯(lián)網(wǎng)的主流應(yīng)用。一方面是因為Web技術(shù)還沒發(fā)展起來，不夠成熟；另一方面通過系統(tǒng)軟件漏洞往往能獲得很高的權(quán)限。相對來說，基于SMTP、POP3、FTP、IRC等協(xié)議的服務(wù)擁有著絕大多數(shù)的用戶，因此主要的攻擊目標是網(wǎng)絡(luò)、操作系統(tǒng)以及軟件等領(lǐng)域，Web安全領(lǐng)域的攻擊與防御技術(shù)處于非常原始的階段。相對于那些攻擊系統(tǒng)軟件的exploit而言，基于Web的攻擊，一般只能讓黑客獲得一個較低權(quán)限的賬戶，對黑客的吸引力遠遠不如直接攻擊系統(tǒng)軟件。但是時代在發(fā)展，防火墻技術(shù)的興起改變了互聯(lián)網(wǎng)安全的格局。尤其是以思科、華為、深信服等代表的網(wǎng)絡(luò)設(shè)備廠商，開始在網(wǎng)絡(luò)產(chǎn)品中更加重視網(wǎng)絡(luò)安全，最終改變了互聯(lián)網(wǎng)安全的走向。防火墻、ACL技術(shù)的興起，使得直接暴露在互聯(lián)網(wǎng)上的系統(tǒng)得到了保護。Web安全發(fā)展2003年的沖擊波蠕蟲是一個里程碑式的事件，該漏洞針對Windows操作系統(tǒng)RPC服務(wù)（運行在445端口）的蠕蟲，處理通過TCP/IP的消息交換的部分，攻擊者通過TCP135端口，向遠程計算機發(fā)送特殊形式的請求，允許攻擊者在目標機器上獲得完全的權(quán)限并以執(zhí)行任意代碼。在很短的時間內(nèi)席卷了全球，造成了數(shù)百萬機器被感染，損失難以估量。在此次事件后，網(wǎng)絡(luò)運營商很堅決地在骨干網(wǎng)絡(luò)上屏蔽了135、445等端口的連接請求。此次事件之后，整個互聯(lián)網(wǎng)對于安全的重視達到了一個空前的高度。運營商、防火墻對于網(wǎng)絡(luò)的封鎖，使得暴露在互聯(lián)網(wǎng)上的非Web服務(wù)越來越少，且Web技術(shù)的成熟使得Web應(yīng)用的功能越來越強大，最終成為了互聯(lián)網(wǎng)的主流。黑客們的目光，也漸漸轉(zhuǎn)移到了Web上。Web安全發(fā)展Web攻擊技術(shù)的發(fā)展也可以分為幾個階段。在Web1.0時代，人們更多的是關(guān)注服務(wù)器端動態(tài)腳本的安全問題，比如將一個可執(zhí)行腳本（俗稱WebShell）上傳到服務(wù)器上，從而獲得權(quán)限。動態(tài)腳本語言的普及，以及Web技術(shù)的發(fā)展初期，對安全問題認知的不足導(dǎo)致很多“血案”的發(fā)展，同時也遺留下很多歷史問題。比如PHP語言至今仍然只能靠較好的代碼規(guī)范來保證沒有文件包含漏洞，而無法從語言本身杜絕此類安全問題的發(fā)生。Web安全發(fā)展SQL注入的出現(xiàn)是Web安全史上的一個里程碑，它最早出現(xiàn)大概是1999年，并很快就成為Web安全的頭號大敵。就如同緩沖區(qū)溢出出現(xiàn)時一樣，程序員們不得不日以繼夜地去修改程序中存在的漏洞。黑客們發(fā)現(xiàn)通過SQL注入攻擊，可以獲取很多重要的、敏感的數(shù)據(jù)，甚至能夠通過數(shù)據(jù)庫獲取系統(tǒng)訪問權(quán)限，這種效果不比直接攻擊系統(tǒng)軟件差，Web攻擊瞬間流行起來。SQL注入漏洞至今仍然是Web安全領(lǐng)域中的一個重要組成部分。XSS（跨站腳本攻擊）的出現(xiàn)則是Web安全史上的另一個里程碑。實際上，XSS的出現(xiàn)時間和SQL注入差不多，但是真正引起人們重視則是在大概2003年以后，在經(jīng)歷了MySPace的XSS蠕蟲事件后（它在20小時內(nèi)感染了100萬個賬戶），安全界對XSS的重視程度提高了很多，OWASPTop10（2007）甚至把XSS放在榜首。Web安全發(fā)展伴隨著Web2.0的興起，XSS、CSRF等攻擊已經(jīng)變的更為強大。Web攻擊的思路也從服務(wù)端轉(zhuǎn)向客戶端，轉(zhuǎn)向了瀏覽器和用戶。黑客們天馬行空的思路，覆蓋了Web的每一個環(huán)節(jié)，變得更加的多樣化，這些安全問題在后面課程中會深入的探討。Web技術(shù)發(fā)展到今天，構(gòu)建了豐富多彩的互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)業(yè)務(wù)的蓬勃發(fā)展，也催生了許多新興的腳本語言，比如Python、Ruby、NodeJS等敏捷開發(fā)成為互聯(lián)網(wǎng)的主旋律。而手機技術(shù)、移動互聯(lián)網(wǎng)的興起，也給HTML5帶來了新的機遇和挑戰(zhàn)。同時，Web安全技術(shù)，也將緊跟著互聯(lián)網(wǎng)發(fā)展的腳步，不斷地演化出新的變化。Web安全事件分析新浪微博攻擊事件2011年6月28日晚新浪微博遭受攻擊，新浪微博突然出現(xiàn)大范圍“中毒”，大量用戶自動發(fā)送“建黨大業(yè)中穿幫的地方”、“個稅起征點有望提到4000”、“郭美美事件的一些未注意到的細節(jié)”、“3D肉團團高清普通話版種子”等帶鏈接的微博與私信，并自動關(guān)注一位名為hellosamy的用戶。20:14，開始有大量帶V的認證用戶中招轉(zhuǎn)發(fā)蠕蟲20:30，2中的病毒頁面無法訪問20:32，新浪微博中hellosamy用戶無法訪問21:02，新浪漏洞修補完畢影響：該攻擊持續(xù)16分鐘，感染用戶達到33000人左右。Web安全事件分析新浪微博攻擊事件Web安全事件分析新浪微博攻擊事件首先，黑客通過對新浪微博的分析測試，發(fā)現(xiàn)新浪名人堂部分由于代碼過濾不嚴，導(dǎo)致XSS漏洞的存在，并可以通過構(gòu)造腳本的方式植入惡意代碼。通過分析發(fā)現(xiàn)，在新浪名人堂部分中，當提交/pub/star/g/xyyyd">?type=update時，新浪會對該字符串進行處理，變成類似/pub/star.php?g=xyyyd">?type=update，而由于應(yīng)用程序沒有對參數(shù)g做充足的過濾，且將參數(shù)值直接顯示在頁面中，相當于

在頁面中嵌入了一個來自于2的JS腳本。該JS腳本是黑客可以控制的文件，使得黑客可以構(gòu)造任意JS腳本嵌入到的頁面中，且通過Ajax技術(shù)完全實現(xiàn)異步提交數(shù)據(jù)的功能，進而黑客通過構(gòu)造特定的JS代碼實現(xiàn)了受此XSS蠕蟲攻擊的客戶自動發(fā)微博、添加關(guān)注和發(fā)私信等操作。Web安全事件分析新浪微博攻擊事件然后，黑客為了使該XSS蠕蟲代碼可以大范圍的感染傳播，會通過發(fā)私信或發(fā)微博的方式誘惑用戶去點擊存在跨站代碼的鏈接，尤其是針對V標認證的用戶，因為此類用戶擁有大量的關(guān)注者，所以如果此類用戶中毒，這些用戶就會通過發(fā)微博和發(fā)私信的方式將該XSS蠕蟲向其他用戶進行傳播，必然可以實現(xiàn)該XSS蠕蟲的大范圍、快速的傳播與感染。Web安全事件分析新浪微博攻擊事件此次攻擊利用了新浪微博存在的XSS漏洞；使用有道提供的短域名服務(wù)；當新浪登陸用戶不小心訪問到相關(guān)網(wǎng)頁時，由于處于登陸狀態(tài)，會運行JS腳本做幾件事：發(fā)微博（讓更多的人看到這些消息，擴大受害群體）加關(guān)注，加uid為2201270010的用戶關(guān)注（這應(yīng)該就是hellosamy）發(fā)私信，給好友發(fā)私信傳播這些鏈接Web安全事件分析12306泄密事件2014年12月25日，大量12306用戶數(shù)據(jù)在網(wǎng)絡(luò)上瘋狂傳播。本次泄露事件被泄露的數(shù)據(jù)達131653條，包括用戶賬號、明文密碼、身份證和郵箱等多種信息，共約14M數(shù)據(jù)。這不是12306網(wǎng)站第一次發(fā)生用戶信息泄露事件，但是是最大的一次。此次攻擊事件為“撞庫攻擊”，就是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶賬號及密碼信息，生成對應(yīng)的字典表，嘗試批量登陸其他網(wǎng)站后，得到一系列可以登陸的用戶。Web安全事件分析12306泄密事件撞庫也是黑客與大數(shù)據(jù)方式進行結(jié)合的一種產(chǎn)物，黑客們將泄漏的用戶數(shù)據(jù)整合分析，然后集中歸檔后形成的一種攻擊方式。而這種攻擊，卻是互聯(lián)網(wǎng)安全維護人員最為無奈的攻擊形式之一，信息泄漏、賬戶安全、網(wǎng)絡(luò)安全無疑成為大眾最關(guān)心的問題。中國黑客的發(fā)展Web安全發(fā)展Web安全事件分析總結(jié)常見Web安全漏洞了解常見的Web安全漏洞及其危害教學(xué)目標信息泄露目錄遍歷跨站腳本攻擊（XSS）SQL注入文件上傳漏洞命令執(zhí)行文件包含Web中間件推薦書籍目錄信息泄露概念信息泄露是由于Web服務(wù)器或應(yīng)用程序沒有正確處理一些特殊請求，泄露Web服務(wù)器的一些敏感信息，如用戶名、密碼、源代碼、服務(wù)器信息、配置信息等。造成信息泄露主要的三個原因：Web服務(wù)器配置存在問題，導(dǎo)致一些系統(tǒng)文件或者配置文件暴露在互聯(lián)網(wǎng)中Web服務(wù)器本身存在漏洞，在瀏覽器中輸入一些特殊的字符，可以訪問未授權(quán)的文件或者動態(tài)腳本文件源碼Web網(wǎng)站的程序編寫存在問題，對用戶提交請求沒有進行適當?shù)倪^濾，直接使用用戶提交上來的數(shù)據(jù)信息泄露案例敏感信息可能會不慎泄露給僅以正常方式瀏覽網(wǎng)站的用戶。但是更常見的是，攻擊者需要通過意外或惡意的方式與網(wǎng)站進行交互來引發(fā)信息泄露。然后，將仔細研究網(wǎng)站的響應(yīng)，以嘗試找出有趣的行為。通過robots.txt文件或目錄列表顯示隱藏目錄的名稱，它們的結(jié)構(gòu)及其內(nèi)容通過臨時備份提供對源代碼文件的訪問在錯誤消息中明確提及數(shù)據(jù)庫表或列名不必要地暴露高度敏感的信息，例如信用卡詳細信息在源代碼中對API密鑰，IP地址，數(shù)據(jù)庫憑證等進行硬編碼通過應(yīng)用程序行為的細微差別來提示是否存在資源，用戶名等信息泄露案例源碼泄露git源碼泄露git源碼泄露，只要有g(shù)it目錄存在，就可以嘗試將其源碼導(dǎo)出利用githack工具，在ubuntu中先進入githack-master中，然后輸入：pythonGitHack.pyhttp://ip/.git/即可將源碼下載下來信息泄露案例源碼泄露hg源碼泄露利用工具dvcs-ripper可以將源碼導(dǎo)出DS_Store文件泄露利用工具ds_store_exp可恢復(fù)文件名，不可恢復(fù)文件內(nèi)容網(wǎng)站備份文件泄露管理員備份網(wǎng)站文件后錯誤的將備份放在Web目錄下，常見后綴名有：.rar、.zip、.7z、.tar、.tar.gz、.bak、.txtsvn泄露重要的文件是/.svn/wc.db和/.svn/entries，同樣可利用dvcs-ripper工具信息泄露案例源碼泄露web-inf/web.xml泄露web-inf是JavaWeb應(yīng)用的安全目錄，web.xml中有文件的映射關(guān)系CVS泄露http://url/CVS/Root返回根信息http://url/CVS/Entries返回所有文件的結(jié)構(gòu)bkclonehttp://url/namedir取回源碼目錄遍歷概念目錄遍歷（目錄穿越）是一個Web安全漏洞，攻擊者可以利用該漏洞讀取運行應(yīng)用程序的服務(wù)器上的任意文件。這可能包括應(yīng)用程序代碼和數(shù)據(jù)，后端系統(tǒng)的登錄信息以及敏感的操作系統(tǒng)文件。危害目錄遍歷最大的危害是能夠讓任意用戶訪問系統(tǒng)的敏感文件，繼而攻陷整個服務(wù)器。目錄遍歷

案例直接訪問Web應(yīng)用存在的一些目錄，如果返回文件列表信息，證明存在此漏洞。目錄遍歷案例使用”../”測試，/var/www/images/../../../etc/passwd等價于/etc/passwd跨站腳本攻擊（XSS）概念跨站腳本攻擊（XSS），指攻擊者通過在Web頁面中寫入惡意腳本，造成用戶在瀏覽頁面時，控制用戶瀏覽器進行操作的攻擊方式?？缯灸_本攻擊（XSS）類型反射型存儲型DOM型危害盜取cookieXSS蠕蟲攻擊會話劫持釣魚攻擊跨站腳本攻擊（XSS）案例SQL注入漏洞概念SQL注入漏洞，Web系統(tǒng)對數(shù)據(jù)庫訪問語句過濾不嚴，入侵者在合法參數(shù)的位置，傳入特殊的字符、命令，實現(xiàn)對后臺數(shù)據(jù)庫的入侵。類型數(shù)據(jù)型Select*fromtablewhereid=xss字符型Select*fromtablewhereusername=‘test’危害數(shù)據(jù)庫信息泄露、數(shù)據(jù)篡改、掛馬等SQL注入漏洞案例文件上傳漏洞概念文件上傳漏洞，網(wǎng)站W(wǎng)EB應(yīng)用都有一些文件上傳功能，比如文檔、圖片、頭像、視頻上傳，當上傳功能的實現(xiàn)代碼沒有嚴格校驗上傳文件的后綴和文件類型時，就可以上傳任意文件，甚至可執(zhí)行文件后門。類型根據(jù)網(wǎng)站使用及可解析的程序腳本不同，可以上傳的惡意腳本可以是PHP、ASP、JSP、ASPX文件等危害惡意文件傳遞給解釋器去執(zhí)行，之后就可以在服務(wù)器上執(zhí)行惡意代碼，可實現(xiàn)數(shù)據(jù)庫執(zhí)行、服務(wù)器文件管理，服務(wù)器命令執(zhí)行等惡意操作。文件上傳漏洞案例命令執(zhí)行概念命令執(zhí)行，應(yīng)用程序有時需要調(diào)用一些執(zhí)行系統(tǒng)命令的函數(shù)，而Web開發(fā)語言中部分函數(shù)可以執(zhí)行系統(tǒng)命令，如PHP中的system、exec、shell_exec等函數(shù)。危害當黑客控制這些函數(shù)的參數(shù)時，就可以將惡意的系統(tǒng)命令拼接到正常命令中，從而造成命令執(zhí)行攻擊，若當前用戶為root用戶，危害程度將更嚴重。命令執(zhí)行案例文件包含漏洞概念文件包含，程序開發(fā)人員一般會把重復(fù)使用的函數(shù)寫到單個文件中，需要使用某個函數(shù)時直接調(diào)用此文件，而無需再次編寫，這中文件調(diào)用的過程一般被稱為文件包含。所有腳本語言都會提供文件包含的功能，但文件包含漏洞在PHPWebApplication中居多,而在JSP、ASP、ASP.NET程序中卻非常少，甚至沒有。常見包含函數(shù)有：include()、require()類型本地包含遠程包含危害文件包含函數(shù)加載的參數(shù)沒有經(jīng)過過濾或者嚴格的定義，可以被用戶控制，包含其他惡意文件，導(dǎo)致了執(zhí)行了非預(yù)期的代碼。文件包含漏洞案例Web中間件概念Web中間件，介于操作系統(tǒng)和應(yīng)用程序之間的產(chǎn)品，面向信息系統(tǒng)交互，集成過程中的通用部分的集合，屏蔽了底層的通訊，交互，連接等復(fù)雜又通用化的功能，以產(chǎn)品的形式提供出來，系統(tǒng)在交互時，直接采用中間件進行連接和交互即可，避免了大量的代碼開發(fā)和人工成本。類型（常見）IISApacheTomcatNginxWebLogicJbossWeb中間件常見漏洞

中件間名稱漏洞IIS解析漏洞、PUT命令執(zhí)行漏洞、PUT文件上傳漏洞、短文件名猜解Apache文件解析漏洞Tomcat任意寫文件漏洞（CVE-2017-12615）、遠程部署漏洞、任意文件讀取/包含漏洞（CVE-2020-1938）Nginx文件解析漏洞、目錄穿越\遍歷漏洞（配置不當）WebLogic弱口令&&遠程部署漏洞、任意文件上傳漏洞（CVE-2018-2894）、SSRF漏洞（CVE-2014-4210）Jboss反序列化漏洞（CVE-2017-12149）、JBoss4.xJBossMQJMS反序列化漏洞（CVE-2017-7504）、弱口令&&遠程部署漏洞Web中間件漏洞樣例（Tomcat·CVE-2020-1938）TomcatTomcat是由Apache軟件基金會屬下Jakarta項目開發(fā)的Servlet容器，按照SunMicrosystems提供的技術(shù)規(guī)范，實現(xiàn)了對Servlet和JavaServerPage（JSP）的支持。由于Tomcat本身也內(nèi)含了HTTP服務(wù)器，因此也可以視作單獨的Web服務(wù)器。影響版本ApacheTomcat9.x<9.0.31ApacheTomcat8.x<8.5.51ApacheTomcat7.x<7.0.100ApacheTomcat6.xWeb中間件漏洞樣例（Tomcat·CVE-2020-1938）漏洞危害

Web中間件漏洞樣例（Tomcat·CVE-2020-1938）漏洞范圍

推薦書籍圖書類信息泄露目錄遍歷站腳本攻擊（XSS）SQL注入文件上傳漏洞命令執(zhí)行文件包含Web中間件推薦書籍總結(jié)OWASPTop10安全風(fēng)險與防護熟練掌握OWASPTOP10包含的內(nèi)容了解每種Web應(yīng)用所面臨的安全風(fēng)險熟練掌握每種Web應(yīng)用所采取的安全策略教學(xué)目標OWASPTop10OWASPTop10（2017）風(fēng)險與防護目錄OWASPTop10OWASP（OpenWebApplicationSecurityProject，開放式Web應(yīng)用程序安全項目）是一個在線社區(qū)，開源的、非盈利的全球性安全組織，主要在Web應(yīng)用安全領(lǐng)域提供文章、方法論、文檔、工具和技術(shù)，致力于應(yīng)用軟件的安全研究。OWASP的使命是使應(yīng)用軟件更加安全，使企業(yè)和組織能夠?qū)?yīng)用安全風(fēng)險做出更清晰的決策。目前OWASP全球擁有250個分部，近7萬名會員，共同推動了安全標準、安全測試工具、安全指導(dǎo)手冊等應(yīng)用安全技術(shù)的發(fā)展。OWASPTop10列出了公認的最有威脅性的Web應(yīng)用安全漏洞，總結(jié)并更新Web應(yīng)用程序中最可能、最常見、最危險的十大漏洞。OWASPTop10攻擊者可以通過應(yīng)用程序中許多的不同的路徑方式去危害企業(yè)業(yè)務(wù)，每種路徑方法都代表了一種風(fēng)險，這些風(fēng)險都值得關(guān)注。OWASPTop10OWASPTop10基于OWASP風(fēng)險等級排序方法的簡單評級方案OWASPTop10（2017）風(fēng)險與防護注入將不受信任的數(shù)據(jù)作為命令或查詢的一部分發(fā)送到解析器時，會產(chǎn)生諸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻擊者的惡意數(shù)據(jù)可以誘使解析器在沒有適當授權(quán)的情況下執(zhí)行非預(yù)期命令或訪問數(shù)據(jù)。OWASPTop10（2017）風(fēng)險與防護注入--脆弱點應(yīng)用程序存在如下情況時，是脆弱的且易受攻擊：用戶提供的數(shù)據(jù)沒有經(jīng)過應(yīng)用程序的驗證、過濾或凈化動態(tài)查詢語句或非參數(shù)化的調(diào)用，在沒有上下文感知轉(zhuǎn)義的情況下，被用于解釋器。在ORM搜索參數(shù)中使用了惡意數(shù)據(jù)，這樣搜索就獲得包含敏感或未授權(quán)的數(shù)據(jù)惡意數(shù)據(jù)直接被使用或連接，諸如SQL語句或命令在動態(tài)查詢語句、命令或存儲過程中包含結(jié)構(gòu)和惡意數(shù)據(jù)OWASPTop10（2017）風(fēng)險與防護注入--防護策略防止注入漏洞需要將數(shù)據(jù)與命令語句、查詢語句分隔開來。最佳選擇是使用安全的API，完全避免使用解釋器，或提供參數(shù)化界面的接口，或遷移到ORM或?qū)嶓w框架。使用正確的或“白名單”的具有恰當規(guī)范化的輸入驗證方法同樣會有助于防止注入攻擊，但這不是一個完整的防御，因為許多應(yīng)用程序在輸入中需要特殊字符，例如文本區(qū)域或移動應(yīng)用程序的API。對于任何剩余的動態(tài)查詢，可以使用該解釋器的特定轉(zhuǎn)義語法轉(zhuǎn)義特殊字符。OWASP的JavaEncoder和類似的庫提供了這樣的轉(zhuǎn)義例程。在查詢中使用LIMIT和其他SQL控件，以防止在SQL注入時大量地泄露記錄。OWASPTop10（2017）風(fēng)險與防護失效的身份認證通常，通過錯誤使用應(yīng)用程序的身份認證和會話管理功能，攻擊者能夠破譯密碼、密鑰或會話令牌，或者利用其它開發(fā)缺陷來暫時性或永久性冒充其他用戶的身份。OWASPTop10（2017）風(fēng)險與防護失效的身份認證--脆弱點應(yīng)用程序存在如下情況時，那么可能存在身份驗證的脆弱性：允許憑證填充，這使得攻擊者獲得有效用戶名和密碼的列表允許暴力破解或其他自動攻擊允許默認的、弱的或眾所周知的密碼，例如“Password1”或“admin/admin使用弱的或失效的驗證憑證，忘記密碼程序，例如“基于知識的答案”使用明文、加密或弱散列密碼（參見：敏感數(shù)據(jù)泄露）缺少或失效的多因素身份驗證暴露URL中的會話ID（例如URL重寫）在成功登錄后不會更新會話ID。不正確地使會話ID失效。當用戶不活躍的時候，用戶會話或認證令牌（特別是單點登錄（SSO）令牌）沒有正確注銷或失效OWASPTop10（2017）風(fēng)險與防護失效的身份認證--防護策略在可能的情況下，實現(xiàn)多因素身份驗證，以防止自動、憑證填充、暴力破解和被盜憑據(jù)再利用攻擊不要使用發(fā)送或部署默認的憑證，特別是管理員用戶執(zhí)行弱密碼檢查，例如測試新或變更的密碼，以糾正“排名前10000個弱密碼”將密碼長度、復(fù)雜性和循環(huán)策略與NIST-800-63B的指導(dǎo)方針（記住秘密）或其他現(xiàn)代的基于證據(jù)的密碼策略相一致確認注冊、憑據(jù)恢復(fù)和API路徑，通過對所有輸出結(jié)果使用相同的消息，用以抵御賬戶枚舉攻擊限制或逐漸延遲失敗的登錄嘗試。記錄所有失敗信息并在憑據(jù)填充、暴力破解或其他攻擊被檢測時提醒管理員。使用服務(wù)器端安全的內(nèi)置會話管理器，在登錄后生成高度復(fù)雜的新隨機會話ID。會話ID不能在URL中，可以安全地存儲和當?shù)浅?、閑置、絕對超時后使其失效。OWASPTop10（2017）風(fēng)險與防護敏感數(shù)據(jù)泄露我們需要對敏感數(shù)據(jù)加密，這些數(shù)據(jù)包括：傳輸過程中的數(shù)據(jù)、存儲的數(shù)據(jù)以及瀏覽器的交互數(shù)據(jù)。OWASPTop10（2017）風(fēng)險與防護敏感數(shù)據(jù)泄露--脆弱性對于敏感數(shù)據(jù)，要確定：在數(shù)據(jù)傳輸過程中是否使用明文傳輸？這和傳輸協(xié)議相關(guān)，如：HTTP、SMTP和FTP。外部網(wǎng)絡(luò)流量非常危險。驗證所有的內(nèi)部通信，如：負載平衡器、Web服務(wù)器或后端系統(tǒng)之間的通信。當數(shù)據(jù)被長期存儲時，無論存儲在哪里，它們是否都被加密，包含備份數(shù)據(jù)？無論默認條件還是源代碼中，是否還在使用任何舊的或脆弱的加密算法？是否使用默認加密密鑰，生成或重復(fù)使用脆弱的加密密鑰，或者缺少恰當?shù)拿荑€管理或密鑰回轉(zhuǎn)？是否強制加密敏感數(shù)據(jù)，例如：用戶代理（如：瀏覽器）指令和傳輸協(xié)議是否被加密？用戶代理（如：應(yīng)用程序、郵件客戶端）是否未驗證服務(wù)器端證書的有效性？OWASPTop10（2017）風(fēng)險與防護敏感數(shù)據(jù)泄露--防護策略對系統(tǒng)處理、存儲或傳輸?shù)臄?shù)據(jù)分類，并根據(jù)分類進行訪問控制。熟悉與敏感數(shù)據(jù)保護相關(guān)的法律和條例，并根據(jù)每項法規(guī)要求保護敏感數(shù)據(jù)。對于沒必要存放的、重要的敏感數(shù)據(jù)，應(yīng)當盡快清除，或者通過PCIDSS標記或攔截。確保存儲的所有敏感數(shù)據(jù)被加密。確保使用了最新的、強大的標準算法或密碼、參數(shù)、協(xié)議和密匙，并且密鑰管理到位。確保傳輸過程中的數(shù)據(jù)被加密（HTTPS）；確保數(shù)據(jù)加密被強制執(zhí)行。禁止緩存對包含敏感數(shù)據(jù)的響應(yīng)。確保使用密碼專用算法存儲密碼。將工作因素（延遲因素）設(shè)置在可接受范圍。單獨驗證每個安全配置項的有效性。OWASPTop10（2017）風(fēng)險與防護XML外部實體（XXE）攻擊者可以利用外部實體竊取使用URI文件處理器的內(nèi)部文件和共享文件、監(jiān)聽內(nèi)部掃描端口、執(zhí)行遠程代碼和實施拒絕服務(wù)攻擊。OWASPTop10（2017）風(fēng)險與防護XML外部實體（XXE）--脆弱性應(yīng)用程序和特別是基于XML的Web服務(wù)或向下集成，可能在以下方面容易受到攻擊：應(yīng)用程序直接接受XML文件或者接受XML文件上傳，特別是來自不受信任源的文件，或者將不受信任的數(shù)據(jù)插入XML文件，并提交給XML處理器解析。在應(yīng)用程序或基于Web服務(wù)的SOAP中，所有XML處理器都啟用了文檔類型定義（DTDs）。因為禁用DTD進程的確切機制因處理器而不同。如果為了實現(xiàn)安全性或單點登錄（SSO），應(yīng)用程序使用SAML進行身份認證。而SAML使用XML進行身份確認，那么應(yīng)用程序就容易受到XXE攻擊。如果應(yīng)用程序使用第1.2版之前的SOAP，并將XML實體傳遞到SOAP框架，那么它可能受到XXE攻擊。存在XXE缺陷的應(yīng)用程序更容易受到拒絕服務(wù)攻擊，包括：BillionLaughs攻擊。OWASPTop10（2017）風(fēng)險與防護XML外部實體（XXE）--防護策略盡可能使用簡單的數(shù)據(jù)格式（如：JSON），避免對敏感數(shù)據(jù)進行序列化。及時修復(fù)或更新應(yīng)用程序或底層操作系統(tǒng)使用的所有XML處理器和庫。同時，通過依賴項檢測，將SOAP更新到1.2版本或更高版本。在應(yīng)用程序的所有XML解析器中禁用XML外部實體和DTD進程。在服務(wù)器端實施積極的（“白名單”）輸入驗證、過濾和清理，以防止在XML文檔、標題或節(jié)點中出現(xiàn)惡意數(shù)據(jù)。驗證XML或XSL文件上傳功能是否使用XSD驗證或其他類似驗證方法來驗證上傳的XML文件。盡管在許多集成環(huán)境中，手動代碼審查是大型、復(fù)雜應(yīng)用程序的最佳選擇，但是SAST工具可以檢測源代碼中的XXE漏洞。如果無法實現(xiàn)這些控制，請考慮使用虛擬修復(fù)程序、API安全網(wǎng)關(guān)或Web應(yīng)用程序防火墻（WAF）來檢測、監(jiān)控和防止XXE攻擊。OWASPTop10（2017）風(fēng)險與防護失效的訪問控制未對通過身份驗證的用戶實施恰當?shù)脑L問控制。攻擊者可以利用這些缺陷訪問未經(jīng)授權(quán)的功能或數(shù)據(jù)，例如：訪問其他用戶的帳戶、查看敏感文件、修改其他用戶的數(shù)據(jù)、更改訪問權(quán)限等。OWASPTop10（2017）風(fēng)險與防護失效的訪問控制--脆弱性常見的訪問控制脆弱點包括：通過修改URL、內(nèi)部應(yīng)用程序狀態(tài)或HTML頁面繞過訪問控制檢查，或簡單地使用自定義的API攻擊工具。允許將主鍵更改為其他用戶的記錄，例如查看或編輯他人的帳戶。特權(quán)提升。在不登錄的情況下假扮用戶，或以用戶身份登錄時充當管理員。元數(shù)據(jù)操作，如重放或篡改JWT訪問控制令牌，或作以提升權(quán)限的cookie或隱藏字段。CORS配置錯誤允許未授權(quán)的API訪問。以未通過身份驗證的用戶身份強制瀏覽的通過身份驗證時才能看到的頁面、或作為標準用戶訪問具有相關(guān)權(quán)限的頁面、或API沒有對POST、PUT和DELETE強制執(zhí)行訪問控制。OWASPTop10（2017）風(fēng)險與防護失效的訪問控制--防護策略訪問控制只有在受信服務(wù)器端代碼或沒有服務(wù)器的API中有效，這樣攻擊者才無法修改訪問控制檢查或元數(shù)據(jù)。除公有資源外，默認情況下拒絕訪問。使用一次性的訪問控制機制，并在整個應(yīng)用程序中不斷重用它們，包括最小化CORS使用。建立訪問控制模型以強制執(zhí)行所有權(quán)記錄，而不是接受用戶創(chuàng)建、讀取、更新或刪除的任何記錄。域訪問控制對每個應(yīng)用程序都是唯一的，但業(yè)務(wù)限制要求應(yīng)由域模型強制執(zhí)行。禁用Web服務(wù)器目錄列表，并確保文件元數(shù)據(jù)（如：git）不存在于Web的根目錄中。記錄失敗的訪問控制，并在適當時向管理員告警（如：重復(fù)故障）。對API和控制器的訪問進行速率限制，以最大限度地降低自動化攻擊工具的危害。當用戶注銷后，服務(wù)器上的JWT令牌應(yīng)失效。OWASPTop10（2017）風(fēng)險與防護安全配置錯誤安全配置錯誤是最常見的安全問題，這通常是由于不安全的默認配置、不完整的臨時配置、開源云存儲、錯誤的HTTP標頭配置以及包含敏感信息的詳細錯誤信息所造成的。因此，我們不僅需要對所有的操作系統(tǒng)、框架、庫和應(yīng)用程序進行安全配置，而且必須及時修補和升級它們。OWASPTop10（2017）風(fēng)險與防護安全配置錯誤--脆弱性應(yīng)用程序存在以下情況，可能受到攻擊：應(yīng)用程序棧堆的任何部分都缺少適當?shù)陌踩庸?，或者云服?wù)的權(quán)限配置錯誤。應(yīng)用程序啟用或安裝了不必要的功能（例如：不必要的端口、服務(wù)、網(wǎng)頁、帳戶或權(quán)限）。默認帳戶的密碼仍然可用且沒有更改。錯誤處理機制向用戶披露堆棧跟蹤或其他大量錯誤信息。對于更新的系統(tǒng)，禁用或不安全地配置最新的安全功能。應(yīng)用程序服務(wù)器、應(yīng)用程序框架（Struts、Spring、ASP.NET）、庫文件、數(shù)據(jù)庫等沒有進行安全配置。服務(wù)器不發(fā)送安全標頭或指令，或者未對服務(wù)器進行安全配置。您的應(yīng)用軟件已過期或易受攻擊（參見：使用含有已知漏洞的組件）。OWASPTop10（2017）風(fēng)險與防護安全配置錯誤--防護策略一個可以快速且易于部署在另一個鎖定環(huán)境的可重復(fù)的加固過程。開發(fā)、質(zhì)量保證和生產(chǎn)環(huán)境都應(yīng)該進行相同配置，并且在每個環(huán)境中使用不同的密碼。這個過程應(yīng)該是自動化的，以盡量減少安裝一個新安全環(huán)境的耗費。搭建最小化平臺，該平臺不包含任何不必要的功能、組件、文檔和示例。移除不適用的功能和框架。檢查和修復(fù)安全配置項來適應(yīng)最新的安全說明、更新和補丁，并將其作為更新管理過程的一部分,（參見：使用含有已知漏洞的組件）。在檢查過程中，應(yīng)特別注意云存儲權(quán)限。一個能在組件和用戶間提供有效的分離和安全性的分段應(yīng)用程序架構(gòu)，包括分段、容器化和云安全組。向客戶端發(fā)送安全指令，如：安全標頭。在所有環(huán)境中能夠進行正確安全配置和設(shè)置的自動化過程。OWASPTop10（2017）風(fēng)險與防護跨站腳本（XSS）當應(yīng)用程序的新網(wǎng)頁中包含不受信任的、未經(jīng)恰當驗證或轉(zhuǎn)義的數(shù)據(jù)時，或者使用可以創(chuàng)建HTML或JavaScript的瀏覽器API更新現(xiàn)有的網(wǎng)頁時，就會出現(xiàn)XSS缺陷。XSS讓攻擊者能夠在受害者的瀏覽器中執(zhí)行腳本，并劫持用戶會話、破壞網(wǎng)站或?qū)⒂脩糁囟ㄏ虻綈阂庹军c。OWASPTop10（2017）風(fēng)險與防護跨站腳本（XSS）--脆弱性典型的XSS攻擊可導(dǎo)致盜取session、賬戶、繞過MFA、DIV替換、對用戶瀏覽器的攻擊（例如：惡意軟件下載、鍵盤記錄）以及其他用戶側(cè)的攻擊。存在三種XSS類型，通常針對用戶的瀏覽器：反射式XSS：應(yīng)用程序或API包括未經(jīng)驗證和未經(jīng)轉(zhuǎn)義的用戶輸入，作為HTML輸出的一部分。一個成功的攻擊可以讓攻擊者在受害者的瀏覽器中執(zhí)行任意的HTML和JavaScript。通常，用戶將需要與指向攻擊者控制頁面的某些惡意鏈接進行交互，例如惡意漏洞網(wǎng)站，廣告或類似內(nèi)容。存儲式XSS：你的應(yīng)用或者API將未凈化的用戶輸入存儲下來了，并在后期在其他用戶或者管理員的頁面展示出來。存儲型XSS一般被認為是高危或嚴重的風(fēng)險?；贒OM的XSS：會動態(tài)的將攻擊者可控的內(nèi)容加入頁面的JavaScript框架、單頁面程序或API存在這種類型的漏洞。理想的來說，你應(yīng)該避免將攻擊者可控的數(shù)據(jù)發(fā)送給不安全的JavaScriptAPI。OWASPTop10（2017）風(fēng)險與防護跨站腳本（XSS）--防護策略防止XSS需要將不可信數(shù)據(jù)與動態(tài)的瀏覽器內(nèi)容區(qū)分開。使用設(shè)計上就會自動編碼來解決XSS問題的框架，如：Ruby3.0或ReactJS。為了避免反射式或存儲式的XSS漏洞，要根據(jù)HTML輸出的上下文（包括：主體、屬性、JavaScript、CSS或URL）對所有不可信的HTTP請求數(shù)據(jù)進行恰當?shù)霓D(zhuǎn)義。在客戶端修改瀏覽器文檔時，為了避免DOMXSS攻擊，最好的選擇是實施上下文敏感數(shù)據(jù)編碼。如果這種情況不能避免，可以采用類似上下文敏感的轉(zhuǎn)義技術(shù)應(yīng)用于瀏覽器API。使用內(nèi)容安全策略（CSP）是對抗XSS的深度防御策略。如果不存在可以通過本地文件放置惡意代碼的其他漏洞（例如：路徑遍歷覆蓋和允許在網(wǎng)絡(luò)中傳輸?shù)囊资芄舻膸欤?，則該策略是有效的。OWASPTop10（2017）風(fēng)險與防護不安全的反序列化不安全的反序列化會導(dǎo)致遠程代碼執(zhí)行。即使反序列化缺陷不會導(dǎo)致遠程代碼執(zhí)行，攻擊者也可以利用它們來執(zhí)行攻擊，包括：重播攻擊、注入攻擊和特權(quán)升級攻擊。OWASPTop10（2017）風(fēng)險與防護不安全的反序列化--脆弱性如果反序列化進攻者提供的敵意或者篡改過的對象將會使將應(yīng)用程序和API變的脆弱。這可能導(dǎo)致兩種主要類型的攻擊：如果應(yīng)用中存在可以在反序列化過程中或者之后被改變行為的類，則攻擊者可以通過改變應(yīng)用邏輯或者實現(xiàn)遠程代碼執(zhí)行攻擊。我們將其稱為對象和數(shù)據(jù)結(jié)構(gòu)攻擊。典型的數(shù)據(jù)篡改攻擊，如訪問控制相關(guān)的攻擊，其中使用了現(xiàn)有的數(shù)據(jù)結(jié)構(gòu)，但內(nèi)容發(fā)生了變化。OWASPTop10（2017）風(fēng)險與防護不安全的反序列化--脆弱性在應(yīng)用程序中，序列化可能被用于:遠程