Web攻击与防护.pptVIP

* * * * * * * 与jsp中的jdbc的preparestatement方法原理是一样的，在这里就不再赘述了。 * 与jsp中的jdbc的preparestatement方法原理是一样的，在这里就不再赘述了。 * 与jsp中的jdbc的preparestatement方法原理是一样的，在这里就不再赘述了。 * 与jsp中的jdbc的preparestatement方法原理是一样的，在这里就不再赘述了。 * 与jsp中的jdbc的preparestatement方法原理是一样的，在这里就不再赘述了。 使用A的参数化查询。 strSQL = SELECT * FROM Orders WHERE CustomerID = @CustomerID; SqlCommand cmd = new SqlCommand(strSQL, cn);//创建一个sqlcommand对象。 //创建新参数，参数绑定 cmd.Parameters.AddWithValue(@CustomerID, ALFKI); 1. Cross Site Script （目标：取得认证、造成破坏） 2. Cross-Site Request Forgery （目标：取得数据，操作数据） XSS又叫CSS(Cross Site Script),跨站脚本漏洞。 恶意攻击者往web页面里面插入恶意的HTML代码,当用户浏览该网页的时候,嵌入其中的HTML代码会被执行。XSS漏洞跟上面提到的SQL注入漏洞有所不同，其属于被动攻击方式，所以不好被利用来直接获取webshell，但依旧可以达到注入的效果。一般用于黑盒测试中。 流程： 填写恶意代码 利用客户的浏览器 执行js取得cookie/执行js挂马 通过cookie获取用户或者管理员权限 用户权限可以获取用户资料、信息 管理员权限可以操作站点，获取站点数据 可以嵌入一些恶意代码例如对访问的用户进行挂马,插入恶意循环的javascript脚本,消耗用户资源例如打开无限的窗口。 WEB 2.0中跟用户交互的例如bbs,blog等.XSS结合Ajax就可以实行蠕虫的编写。例如Myspace的samy蠕虫病毒,作者年仅19岁,后果几个小时内感染了100万用户,并且在每个被感染的用户后面添加了”Samy is my hero”的语句,造成Myspace瘫痪。不光是国外,国内的很多WEB 2.0网站都遭受过不同程度的蠕虫攻击,例如百度,校内等。 XSS还可以进行内网扫描。Black hat 2009 DC黑客大会上演示。 CSRF（Cross-site request forgery）跨站请求伪造 。 攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。黑客伪造目标用户的HTTP请求，然后将这个HTTP请求发送给有CSRF漏洞的网站,有CSRF漏洞的网站执行了伪造的HTTP请求,这样就引发了CSRF漏洞。一般用于白盒测试中。 流程： 填写恶意代码 利用客户的浏览器 执行js提交http请求 http请求中可以做到对数据的操作或者获取对应的权限 Cookie：Web服务器存放在客户端计算机的一些信息，主要用来客户端识别或身份识别等。Session,保存在服务器端的。 Cookie欺骗攻击：攻击者通过修改存放在客户端的cookie来达到欺骗服务器认证目的。 修改工具：IECookiesView If(“登录验证过程”){ setcookie(isadmin”,1,time()+3600*24*30); }//登录成功，写入cookie，一个月后失效，用于下次登录。 …… $admin= $_COOKIE[“isadmin]; if($admin){ echo “已经登录”; }else{ echo “请重新登陆”;} //没对cookie有效性进行验证，导致cookie欺骗产生。 对用户输入数据编码： Asp:server.htmlencode函数 Php:htmlspecialchars函数 :HttpContext.Current.Server.HtmlEncode jsp:默认没有提供过滤方法，需要自写方法。 过滤危险的html关键字符： 比如：script/iframe等。 1.目录穿越攻击是黑客能够跳出web应用程序所在的根目录意外的文件和文件夹上,任意的存取被限制的文件夹和文件。 2.出现的地方: 1) 下载附件的地方,例如mail,合同等系统 2) 一些读取文件的函数例如read_file等 实例： /index.php?page=%20../../../../../../../../etc/passwd%00.html /apps/info/inf