web安全与appscan入门.pdf

Web安全与appscan入门 魏靖 2010年8月19 日 Web安全现状 • 1、什么是web 应用 Web 应用是由动态脚本、编译过的代 码等组合而成。它通常架设在Web 服务器 上，用户在Web 浏览器上发送请求，这些 请求使用HTTP 协议，经过因特网和企业 的Web 应用交互，由Web 应用和企业后 台的数据库及其他动态内容通信。 • 2、web应用的架构 尽管不同的企业会有不同的 Web 环境搭建方 式，一个典型的Web 应用通常是标准的三层架构 模型 。在这种最常见的模型中，客户端是第一层; 使用动态Web 内容技术的部分属于中间层;数据 库是第三层。用户通过Web 浏览器发送请求 (request)给中间层，由中间层将用户的请求转换 为对后台数据的查询或是更新，并将最终的结果 在浏览器上展示给用户 。 • 典型web架构实例： Web安全措施 • 在企业Web 应用的各个层面，都会使用不同的技 术来确保安全性。为了保护客户端机器的安全， 用户会安装防病毒软件;为了保证用户数据传输到 企业Web 服务器的传输安全，通信层通常会使用 SSL(安全套接层)技术加密数据;企业会使用防火 墙和IDS(入侵诊断系统)/IPS(入侵防御系统)来保 证仅允许特定的访问，不必要暴露的端口和非法 的访问，在这里都会被阻止;即使有防火墙，企业 依然会使用身份认证机制授权用户访问Web 应用。 • Web信息安全全景图 Web安全认识误区 • “Web 网站使用了防火墙，所以很安全” 无论是应用级还是端口级的防火墙针对的都是网络层面的攻击，通过设置可 访问的端口或者应用，把恶意访问排除在外，然而如何鉴别善意访问和恶意 访问是一个问题。访问一旦被允许，后续的安全问题就不是防火墙能应对了。 • “Web 网站使用了IDS，所以很安全” 通过模式识别对网络层面的攻击做出防护措施。然而类似于防火墙，通过利 用程序漏洞，通过正常连接进行攻击的访问无法被识别和处理。 • “Web 网站使用了SSL 加密，所以很安全” • SSL 对网站发送和接收的信息都进行加密处理，然而SSL 无法保障存储在网 站里的信息的安全和网站访问者的隐私信息。采用64 位甚至 128 位SSL 加 密的网站被黑客攻陷的例子举不胜举。 • “漏洞扫描工具没发现任何问题，所以很安全” • 当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞。同理， 扫描工具无法对网站应用程序进行检测，无法查找应用本身的漏洞。 • “我们每季度都会聘用安全人员（Pen Tester）进行审计，所以很安全” • 人为的检测考察不仅仅效率低，不可控因素也较多，同时对于代码变更频繁 的今天，Pen Tester 也无法满足全面的安全需求 • 然而这些方法远远不能保障Web 应用的安 全，针对应用层面的攻击可以轻松的突破 防火墙保护的网站。例如：最为常见的 SQL 注入攻击表现层面完全是正常的数据 交互查询。对于防火墙或者入侵检测系统 而言，这是最为正常的访问连接，没有任 何特征能够说明此种访问连接存在恶意攻 击。所以，一些简单的SQL 注入语句就可 以使得装备昂贵网络安全设备的网站被轻 松攻破。 10大攻击手段 Sql注入举例 • 在网站的应用中需要应用到大量的数据库查询检索等功能，例如最简 单的例子是网站登陆，用户需要输入登陆名称和密码进行登陆认证。 在早期的开发中通常使用最为简单的select 语句实现此功能，即 select * from users where username = “XXXX” and password = “XXXX”( 假设数据库user 表名称为users，用户名和密码字段名称为 username 和password)。通过截取用户在文本框中录入的字符串， 再进行拼接，形成select