第7章应用安全技术讲解.ppt

主要内容 7.1 Web应用安全技术 7.2 电子商务安全 7.3 电子邮件加密技术 7.4 防垃圾邮件技术 7.5 网络防钓鱼技术 7.6 QQ安全使用 7.7 网上银行账户安全 7.8 使用WinHex HTML和JavaScript语言 HTML是一种用来制作网页的标记语言，它不需要编译，可以直接由浏览器执行，属于浏览器解释型语言。 JavaScript是一种基于对象和事件驱动并具有相对安全性的客户端脚本语言。同时也是一种广泛用于客户端Web开发的脚本语言，常用来给HTML网页添加动态功能，比如响应用户的各种操作。 练习 P268 Web技术简介与安全分析 Webshell “web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。 webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。 由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。 上传漏洞 在浏览器地址栏中网址的后面加上“/upfile.asp”（或与此含义相近的名字），如果显示“上传格式不正确”等类似的提示，说明存在上传漏洞，可以用上传工具得到WebShell。 暴库 暴库就是通过猜测数据库文件所在的路径来将其下载，得到该文件后就可以破解该网站的用户密码了。 旁注 利用同一主机上面不同网站的漏洞得到webshell，从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。 CGI 通用网关接口，它是一段程序，运行在服务器上，提供同客户端HTML页面的接口，通俗的讲CGI就像是一座桥，把网页和WEB服务器中的执行程序连接起来，它把HTML接收的指令传递给服务器，再把服务器执行的结果返还给HTML页； 用CGI可以实现处理表格，数据库查询，发送电子邮件等许多操作。 CGI使网页变得不是静态的，而是交互式的。 CGI可以用任何一种语言编写，只要这种语言具有标准输入、输出和环境变量。 Web系统架构 用户使用Web浏览器，通过网络连接到Web服务器。用户发出请求，服务器根据请求的URL，找到对应的网页文件，发送给用户。网页文件是HTML/XML格式的文本文件，Web浏览器有一个解释器，将网页文本转换成Web浏览器中看到的网页。 静态网页: 网页内容不会发生变化，除非网页设计者修改了网页的内容。 不能实现和浏览网页的用户之间的交互。信息流向是单向的，即从服务器到浏览器。服务器不能根据用户的选择调整返回给用户的内容。 动态网页：能与后台数据库进行交互，数据传递。也就是说，网页 URL的后缀不是.htm、.html、.shtml、.xml等静态网页的常见形动态网页制作格式，而是以..asp、.jsp、.php、.perl、.cgi等形式为后缀，并且在动态网页网址中有一个标志性的符号——“?”。 动态网页一般以数据库技术为基础，可以大大降低网站维护的工作量 采用动态网页技术的网站可以实现更多的功能，如用户注册、用户登录、在线调查、用户管理、订单管理等等 动态网页实际上并不是独立存在于服务器上的网页文件，只有当用户请求时服务器才返回一个完整的网页 Web系统架构安全分析 服务器系统漏洞 Web服务应用漏洞 密码暴力破解 用户提交的变量没有经过完整过滤Html 字符或者根本就没有经过过滤就放到了数据库中，一个恶意用户提交的Html代码被其它浏览该网站的用户访问，通过这些Html 代码也就间接控制了浏览者的浏览器，就可以做很多的事情，如：窃取敏感信息、引导访问者的浏览器去访问恶意网站等。 一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句。 另一类则是来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开 。 XSS 是如何发生的呢 假如有下面一个textbox input type=text name=address1 value=value1from value1from是来自用户的输入，如果用户不是输入value1from,而是输入 “scriptalert(document.cookie)/script!- 那么就会变成 input type=text name=address1 value=scriptalert(document.cookie)/script!- 事件被触发的时候嵌入的JavaScript代码将会被执行，?攻击的威力，取决于用户输入了什么样的脚本。 XSS之所以会发生， 是因为用户输入的数据变成了代