Web安全测试教程分析.ppt

如何防范1 ???????验证你的结构 n????????识别所有的敏感数据； n????????识别这些数据存放的所有位置； n????????确保所应用的威胁模型能够应付这些攻击； n????????使用加密手段来应对威胁 ????????使用一定的机制来进行保护 n????????文件加密；数据库加密；数据元素加密 如何防范2 ?????正确的使用这些机制 n????????使用标准的强算法； n????????合理的生成，分发和保护密钥； n????????准备密钥的变更 ???验证实现方法 n????????确保使用了标准的强算法； n????????确保所有的证书、密钥和密码都得到了安全的存放； n????????有一个安全的密钥分发和应急处理的方案；  A10-不足的传输层保护 漏洞事与上一个漏洞相似，都是一种缺少了对敏感数据保护的漏洞。不同在于这种漏洞更多关注的是数在网络上的传输， 如何防范 l???????? 提供合理的保护机制 n???????? 对于敏感数据的传输，对所有连接都要使用TLS； n???????? 在传输前对单个数据都要进行加密；（如XML-Encryption） n???????? 在传说前对信息进行签名；（如XML-Signature） l???????? 正确的使用这些机制 n???????? 使用标准的强算法 n???????? 合理管理密钥和证书； IBM AppScan 工具原理： 策略库，随时更新 执行工具，调用策略库策略进入自动注入 WEB测试工具 hp webinspect Ibm appscan 基本流程 配置 1、设置类型 web程序和webservices（gsc） 2、设置扫描程序 增加url和其他服务器和域 3、登录设置 自动、录制、手工、提示 4、选择策略库 缺省、基础设置、应用程序、快速等 扫描方式 a、完全扫描 b、探测 c、测试 查看结果 安全问题 修复任务 应用程序数据 报告 自定义报告 增量报告 QA Thanks * * BNCC * BNCC * BNCC * BNCC * * * * * 存在于Web页面的“更改我的密码”、“记住我的密码”、“忘记密码”、“安全提问”、“注销登录”、“邮件地址” * * CSRF攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如：一个网站用户Bob可能正在浏览聊天论坛，而同时另一个用户Alice也在此论坛中，并且后刚刚发布了一个具有Bob银行链接的图片消息。设想一下，Alice编写了一个在Bob的银行站点上进行取款的form提交的链接，并将此链接作为图片tag。如果Bob的银行在cookie中保存他的授权信息，并且此cookie没有过期，那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie，这样在没经Bob同意的情况下便授权了这次事务。 CSRF是一种依赖web浏览器的、被混淆过的代理人攻击（deputy attack）。在上面银行示例中的代理人是Bob的web浏览器，它被混淆后误将Bob的授权直接交给了Alice使用。 * 开发人员应当向URL添加跟会话有关信息。该攻击类型之所以得逞，是因为会话是由cookie唯一标识的，并且该cookie是由浏览器自动发送的。 如果我们在URL级别为会话生成其它相关信息，那么就会给攻击者为发动攻击而了解URL的结构造成更多的障碍。 至于其它的对策，虽然也无法解决该问题，但是能够使得利用该漏洞更加困难，例如使用POST而不是GET。虽然POST请求可以通过JavaScript进行模仿，但是它提高了发动这种攻击的难度。使用中间确认页也能带来相同的效果，比如“您确信要这样做吗？”之类的页面。虽然攻击者可以绕过这些措施，但是这些措施提供了实施攻击的难度。因此，不能完全依赖这些手段来保护您的应用程序。自动登出机制也能减轻这种攻击带来的危害，但这最终依赖于具体情况（一个整天跟有这种漏洞的网络银行程序打交道的用户所面临的风险要远远大于临时使用同一网络银行的用户所面临的风险）。 * * * * WEB安全测试 2011-8-10 网络安全事件 2001年4月27日--5月5日)导火索.撞机事件 美国 2.7黑客案件事件 * 6.网络破坏： 主页篡改、文件删除、毁坏OS 、格式化磁盘 7. 数据窃取： 敏感数据拷贝、监听敏感数据传输---共享媒介/服务器监听/远程监听RMON 8.伪造、浪费与滥用资源： 违规使用 9.篡改审计数据