Web安全及架构加固.pptxVIP

Web安全及架构加固开场白? 随着Web应用的日益发展，网站所面临的威胁日益显著，Web服务器已经成为黑客攻击的首选目标。在不可避免会受到攻击的前提下，如何有效的保护Web应用是IT部门必须认真考虑的问题。在进行加固之前，我们需要先知道攻击中所常用的招数，这样才能更有针对性的进行防护。防范Web攻击的几点基本原则? 采用最新的技术或软件版本? 永远把访问者想象成可能是恶意的? 只允许合理的请求，而不是尝试禁止不合 理的请求（白名单，而非黑名单）? 考虑如何在限制最小权限的情况下提供网 页内容，而不是以最方便的方式提供网页 内容? 对于包含敏感信息内容，一定要进行足够强度的加密什么是Web安全风险为什么会存在Web安全风险如何面对Web安全风险如何防护Web安全网站篡改某银行网站篡改敏感数据泄密泄密企业敏感信息泄密企业敏感信息泄密湖北车管所黑客入侵事件 曾经受聘为省公安厅交警总队开发软件，利用“超级管理员”的身份，用超级密码进入公安厅车管系统，办起了“地下车管所”，先后为126辆高档小轿车办理假证号牌，非法获利1500余万元。“广告联盟”放置“黑链”假冒的中国工商银行网站真正的中国工商银行网站钓鱼网站CSDN泄密门百度被黑背景：5小时无法提供任何互联网服务漏洞：DNS服务器被劫持影响：国内最大互联网企业也在劫难逃！百度被黑网站瘫痪思考安全，在信息系统规划设计中就应该考虑！Web安全风险定义政府网站安全防护薄弱据国家互联网应急中心监测,2016年中国大陆有近3.5万个网站被黑客篡改,数量较2015年下降21.5%,但其中被篡改的政府网站高达4635个,比2015年上升67.6%。中央和省部级政府网站安全状况明显优于地市以下级别的政府网站,但仍有约60%的部委级网站存在不同程度的安全隐患。政府网站安全性不高不仅影响了政府形象和电子政务工作的开展,还给不法分子发布虚假信息或植入网页木马以可乘之机,造成更大的危害。被挂马政府网站网络安全事件的跨境化特点日益突出2016年,国家互联网应急中心监测发现共近48万个木马控制端IP,其中有22.1万个位于境外,前三位分别是美国(占14.7%)、印度(占8.0%)和我国台湾(占4.8%);共有13782个僵尸网络控制端IP,有6531个位于境外,前三位分别是美国(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2010年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。。为什么会发生Web安全风险？C/S模式和B/S模式对比专用端口专用协议客户端/服务器模式（C/S)专用端口专用协议统一端口通用协议浏览器/服务器模式（B/S)统一端口通用协议黑客尝试使用admin’—作为用户名登陆 即猜测存在名为admin的管理员用户成功登陆系统，黑客可以随意读取邮件、下载文件等操作。典型网络攻击示例典型案例某政府单位网站后台Web应用验证缺失2016年上半年CNCERT/CC处理事件类型51CTO的WEB威胁调查 十大Web应用安全风险注入 - Injection跨站脚本 - Cross-Site Scripting （XSS）失效的验证和会话管理 - Broken Authentication and Session Management不安全的直接对象访问 - Insecure Direct Object References 跨站请求伪造 - Cross-Site Request Forgery（CSRF） 不正确的安全设置 - Security Misconfiguration 不安全的加密存储 - Insecure Cryptographic StorageURL访问限制缺失 - Failure to Restrict URL Access 没有足够的传输层防护 - Insufficient Transport Layer Protection 未验证的重定向和跳转 - Unvalidated Redirects and Forwards1. 注入 - Injection? 虽然还有其他类型的注入攻击，但绝大多数情况下，问题涉及的都是SQL注入。? 攻击者通过发送SQL操作语句，达到获取信 息、篡改数据库、控制服务器等目的。是目 前非常流行的Web攻击手段。? 流行性：常见；危害性：严重? 示例网页中使用如下SQL查询，其中MyUser和MyPassword需要用户输入：SELECT * FROM accountsWHERE username = MyUser and PASSWORD = MyPassword攻击者可以输入任意用户名，并输入 or 1=1 作为密码，实现如下查询：SELECT * FROM