web应用安全.pptxVIP

Web应用安全 课题背景Web应用安全概述常见WEB应用安全隐患目录/contents常见WEB应用案例分析Web安全技术 课题背景 尽管不同的企业会有不同的 Web 环境搭建方式，一个典型的 Web 应用通常是标准的三层架构模型。 由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。然而现实确是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。Web攻击事件-篡改数据Web攻击事件-跨站攻击Web攻击事件-注入式攻击 随着web的广泛应用，Internet中与web相关的安全事故正成为目前所有事故的主要组成部分，由图可见，与web 安全有关的网页恶意代码和网站篡改事件占据了所有事件的大部分，web安全面临严重问题。web应用安全概况分析形式越来越严重目的越来越利益队伍越来越壮大门槛越来越低国家互联网应急响应中心，一度引起中央电视台媒体重点关注；引起国家司法机构大力整治。从网站涂鸦到政府黑站；从到游戏币到职业资格证；网银大盗到网马频发。地下黑客利益链黑站工具随手可得；网站漏洞随处可见；黑客培训基地层出不穷 什么是WEB应用 Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上，用户在Web浏览器上发送请求，这些请求使用HTTP协议，经过因特网和企业的Web应用交互，由Web应用和企业后台的数据库及其他动态内容通信。 Web组成部分通信协议（HTTP协议）客户端（浏览器）服务器端（web服务器）HTTP是分布的web应用的核心技术协议，它定义了web浏览器向web服务器发送索取web页面请求的格式以及web页面在internet上的传输方式。在服务器结构中规定了服务器的传输设定，信息传输格式及服务器本身的基本开放结构客户端通常称为web浏览器，用于向服务器发送资源请求，并将受到的信息解码显示。 WEB安全分类WEB客户端安全WEB服务端安全 常见的问题就是：XSS漏洞，CSRF漏洞，以及其他浏览器插件或者JavaApplet漏洞。客户端的问题，主要是浏览器的特性导致的，攻击的是WEB系统的用户。 常见的问题就是：SQL注入，文件上传，水平权限，系统命令执行等漏洞。服务端安全问题是服务端程序逻辑和服务端的HTTP服务器，应用服务器以及数据库服务器问题导致。常见WEB应用安全隐患XSS跨站SQL注入拒绝服务CSRF钓鱼欺骗网页挂马上传漏洞WebShell 常见WEB应用案例分析微博上的蠕虫2011年６月份，新浪微博出现了一次比较大的ＸＳＳ攻击事件。大量用户自己发送诸如：“郭美美事件的一些未注意道德细节”“建党大业中穿帮的地方”、“这是传说中的神仙眷侣啊”等微博和私信，并自动关注以为名为hellosally的用户。微博用户中招后会自动向自己的粉丝发送含毒私信和微博，有人点击后会再次中毒，形成恶性循环。 跨站脚本（XSS） XSS 又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。?在XSS攻击中，一般有三个角色参与：攻击者、目标服务器、受害者的浏览器。 反射型XSS 反射型XSS也被称为非持久性XSS，是现在最容易出现的一种XSS漏洞。XSS的Payload一般是写在URL中，之后设法让被害者点击这/xss.php?username=scriptalert(/xss/)/script这个链接。 存储型XSS 存储型XSS又被称为持久性XSS，存储型XSS是最危险的一种跨站脚本。存储型XSS被服务器端接收并存储，当用户访问该网页时，这段XSS代码被读出来响应给浏览器。反射型XSS与DOM型XSS都必须依靠用户手动去触发，而存储型XSS却不需要。DOM XSS DOM的全称为Document Object Model,即文档对象模型。基于DOM型的XSS是不需要与服务器交互的，它只发生在客户端处理数据阶段。简单理解DOM XSS就是出现在javascript代码中的xss漏洞。如果输入 /dom.html?content=scriptalert(/xss/)/script，就会产生XSS漏洞。这种利用也需要受害者点击链接来触发，DOM型XSS是前端代码中存在了漏洞，而反射型是后端代码中存在了漏洞。攻击流程示意图 XSS的危