网络攻防原理课件作者吴礼发13-16第13讲-应用服务攻击技术.ppt

第十三讲 应用服务攻击技术 吴礼发，洪征，李华波 （wulifa@ ） 知识回顾 内容提要 Web应用程序体系结构 Web应用体系结构潜在弱点 Web客户端：活动内容执行，客户端软件漏洞的利用，交互站点脚本的错误； 传输：偷听客户-服务器通信，SSL重定向； Web服务器：Web服务器软件漏洞； Web应用程序：攻击授权、认证、站点结构、输入验证，以及应用程序逻辑； 数据库：通过数据库查询运行优先权命令，查询操纵返回额外的数据集。 Web应用 Web Applications: Software applications that interact with users or other applications using HTTP or HTTPS Web Application Vulnerabilities: Web应用安全的严重性 在安全漏洞报告中，Web应用安全漏洞一直占据最前列。 比如SANS @RISK 在2007年8月的安全漏洞报告： 介绍OWASP OWASP: Open Web Application Security Project， 一个全志愿者组成的、非营利性机构； 开发和出版免费专业开源的文档、工具和标准； 致力于帮助组织机构理解和提高他们的Web安全。 OWASP的工作 公认的Web应用安全标准 组织各种Web安全会议 出版Web应用安全漏洞排名： 《The Ten Most Critical Web Application Security Vulnerabilities》 出版Web应用安全手册： 《A Guide to Building Secure Web Applications》 开源的Web安全开发和训练工具 WebScarab：一个Web应用和Web服务的安全漏洞测试工具 WebGoat：一个在线的Web应用安全漏洞训练环境 各种Web代码测试工具 十大安全漏洞-OWASP 2007 A1.Cross-Site Scripting (XSS)：跨站脚本 A2.Injections Flaws：注入漏洞 A3.Malicious File Execution：恶意文件执行 A4.Insecure Direct Object Reference：不安全的直接对象引用 A5.Cross Site Request Forgery (CSRF)：跨站请求仿冒 十大安全漏洞-OWASP 2007 A6.Information Leakage Improper Error Handling：信息泄露和不当的错误处理 A7.Broken Authentication Session Management：认证和会话管理不完善 A8.Insecure Cryptographic Storage：不安全的加密存储 A9.Insecure Communications：不安全的通信 A10.Failure to Restrict URL Access：URL访问缺少限制 2007 VS. 2004 (1/2) 2007 VS. 2004 (2/2) 十大安全漏洞-OWASP 2007 (一)跨站脚本（XSS）漏洞 Cross-Site Scripting (XSS) flaws occur whenever an application takes user supplied data and sends it to a web browser without first validating or encoding that content. XSS allows attackers to execute script in the victims browser which can hijack user sessions, deface web sites, possibly introduce worms, etc. 跨站脚本攻击 工作原理： 输入插入包含有JavaScript或其它恶意脚本的HTML标签代码。 XSS攻击的原理 XSS漏洞探测示例 XSS攻击示例 防御XSS攻击 对Web应用程序的所有输入进行过滤，对危险的HTML字符进行编码： ‘’ , ‘’ ? ‘lt;’ , ‘gt;’ ‘(‘ , ‘)’ ? ‘#40;’ , ‘#41;’ ‘#‘ , ‘’ ? ‘#35;’ , ‘#38;‘ 对用户进行培训，告知小心使用电子邮件消息或即时消息中的链接； 防止访问已知的恶意网站； 执行手工或自动化代码扫描，确定并消除潜在的XSS漏洞。 （二）注入漏洞 Injection flaws, particularly SQL i