03网站常见威胁及防范(上)介绍.pptVIP

后有 * 后有 * 后有 * ? 6 ）敏感信息泄漏 - Sensitive Data Exposure 主要防范措施： ? 对所有重要信息进行加密 ? 使用MD5, SHA-1等Hash算法时候采用加盐存储的方式 ? 产生的密钥不能与加密信息一起存放 ? 严格控制对加密存储的访问 ? 某些Web应用包含一些“隐藏”的URL， 这些URL不显示在网页链接中，但管理员 可以直接输入URL访问到这些“隐藏”页 面。如果我们不对这些URL做访问限制， 攻击者仍然有机会打开它们。 ? 流行性：常见 危害性：中等 ? 示例 1. 某商品网站举行内部促销活动，特定内部员工可以通过访问一个未公开的URL链接登 录公司网站，购买特价商品。此URL通过某员工泄露后，导致大量外部用户登录购买。 2. 某公司网站包含一个未公开的内部员工论坛（/bbs），攻 击者可以进行一些简单尝试就找到这个论坛的入口地址。 7 ） 功能级访问控制缺失 - Missing Function Level Access Control 主要防范措施： ? 对于网站内的所有内容（不论公开的还是未 公开的），都要进行访问控制检查 ? 只允许用户访问特定的文件类型，比 如.html, .asp, .php等，禁止对其他文件类型 的访问 ? 考虑一下管理权利的过程并确保能够容易的进行升级和审计 7 ） 功能级访问控制缺失 - Missing Function Level Access Control ? 攻击者构造恶意URL请求，然后诱骗合法用 户访问此URL链接，以达到在Web应用中以 此用户权限执行特定操作的目的。 和XSS的主要区别是：XSS的目的是在客户端执行脚本； CSRF的目的是在Web应用中执行操作。 ? 流行性：常见 危害性：中等 案例:TP-LINK路由器DNS篡改 Internet Explorer 3.0 到 6.0 版本支持以下 HTTP 或 HTTPS URL 语法： http(s)://username:password@server/resource.html 1、黑客制作一个国内各种路由的默认IP和默认密码构造一个Http Authentication Url暴力登陆脚本。 2、使用CSRF修改路由的DNS，指向恶意DNS 8 ）跨站请求伪造 - Cross-Site Request Forgery（CSRF） ? 主要防范措施： ? 避免在URL中明文显示特定操作的参数内容 ? 使用同步令牌（Synchronizer Token）,检查 客户端请求是否包含令牌及其有效性 ? 检查Referer Header，拒绝来自非本网站的 直接URL请求 8 ）跨站请求伪造 - Cross-Site Request Forgery（CSRF） ? 应用程序使用带有已知漏洞的组件会破坏应用程序防御系统，并使一系列可能的攻击和影响成为可能。 ? 流行性：广泛 危害性：中等 ? 案例 9 ）使用含有已知漏洞的组件 - Using Known Vulnerable Components 2（CVE-2013-2251） CVE-2014-0160 ( TLS心跳读远程信息泄露漏洞 ) ? 主要防范措施： ? 时刻关注组件的安全漏洞信息 ? 建立组件使用的安全策略，比如需要某些软件开发实践， 通过安全性测试和可接受的授权许可 ? 在适当的情况下，考虑增加对组件的安全封装， 去掉不使用的功能和或者组件易受攻击的方面 9 ）使用含有已知漏洞的组件 - Using Known Vulnerable Components ? 攻击者可能利用未经验证的重定向目标来 实现钓鱼欺骗，诱骗用户访问恶意站点。 ? 攻击者可能利用未经验证的跳转目标来绕 过网站的访问控制检查。 ? 流行性：少见 危害性：中等 ? 示例 利用重定向的钓鱼链接： /redirect.asp?= 更为隐蔽的重定向钓鱼链接： /userupload/photo/324237/../../../redirect.asp %3F%3Dhttp%3A// 利用跳转绕过网站的访问控制检查： /jump.asp?fwd=admin.asp 10 ） 未验证的重定向和跳转 - Unvalidated Redirects and Forwards ? 主要防范措施： ? 尽量不用重定向和跳转 ? 对重定向或跳转的参数内容进行检查，