1WEB安全防护学习材料.pptx

WEB安全和防护;;WEB安全简介; 黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害;Web安全风险; ;OWASP TOP10漏洞;;注入漏洞 XML注入 代码注入 CRLF注入 SQL注入 ;XML注入 XML是一种常用的标记语言，通过标签对数据进行结构化表示 条件 用户能控制数据的输入 程序拼凑了数据;一个XML的文件中的数值 ?xml version=1.0 encoding=ISO-8859-1? users user usernamegandalf/username password!c3/password userid0userid/ mailgandalf@/mail /user user usernameStefan0/username passwordw1s3c/password userid500userid/ mailStefan0@whysec.hmm/mail /user /users;对其进行XML注入攻击 提交语句： /addUser.php?username=tonypassword=Un6R34kb!e /password!-- email= --userid0/useridmails4tan@ 则会插入以下值： Username: tony Password: Un6R34kb!e/password!-- E-mail: --userid0/useridmails4tan@; ;思想 XML注入的成功都有一些特殊字符的存在，并且由特殊字符进行截断和注入新的含义 防护手段 对用户输入的特殊字符进行转义 ;代码注\命令注入 描述： 代码\命令注入是指攻击者提交代码作为输入，并被web 服务器当作动态代码\命令或嵌入文件处理。 原因： 代码注入和命令注入往往是不安全的函数或方法引起的执行命令的函数（system()、eval()） 文件包含的函数（文件包含也是代码注入的一种） ;代码\命令注入利用; 代码注入的目标在于针对各种服务器端脚本引擎，即ASP、PHP 等等。因此需要部署适当的验证和安全代码程序防止这些攻击 防护手段 1.尽量不要使用系统执行命令；2.在进入执行命令函数/方法之前，变量一定要做好过滤，对敏感字符进行转义；3.在使用动态函数之前，确保使用的函数是指定的函数之4.对PHP语言来说，不能完全控制的危险函数最好不要使用 ;CRLF注入 CRLF实际上是两个字符回车换行（CR:0x0d，LF:0x0a)， CRLF常被用来做不同语义的分隔符 一些文件的的分隔符，如日志 在HTTP请求头中进行注入 SQL注入时绕过一些限制 XSS攻击 解决方案 处理好\r\n两个字符就行;CRLF注入利用; SQL注入的定义: 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串， 最终达到欺骗服务器执行恶意的SQL命令。 SQL注入的危害: 这些危害包括但不局限于： 数据库信息泄漏：数据库中存放的用户的隐私信息的泄露。 网页篡改：通过操作数据库对特定网页进行篡改。 网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马链接，进行挂马攻击。 数据库被恶意操作：数据库服务器被攻击，数据库的系统管理员帐户被窜改。 服务器被远程控制，被安装后门。经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统。 破坏硬盘数据，瘫痪全系统。; SQL注入的条件 用户能够控制数据的输入 原本要执行的代码，拼接了用户的输入 String sql=“select * from xxx where id=‘”+id=“’”; 识别SQL注入漏洞的最简单方法是在参数值中添加无效或者意外的字符，观察应用响应中的错误。 ;常见注入语句;常见注入语句;预防SQL注入 使用预编译，绑定变量（推荐） 使用存储过程 检查数据类型 使用安全函数 过滤特殊字符和语句;跨站漏洞的成因 XSS漏洞成因是由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤，允许用户在提交的数据中掺入HTML代码（最主要的是“”、“”），然后未加编码地输出到第三方用户的浏览器，这些攻击者恶意提交代码会被受害用户的浏览器解释执行。 危害： 盗取cookie 窃取用户、管理员密码 网页挂马 钓鱼攻击;跨站漏洞类型 存储型跨站：最直接危害类型，跨站代码存储在服务器（数据库）； 反射型跨站：反射型跨站脚本漏洞，最普遍的类型；（用户访问服务器-跨站链接-返回跨站代码） DOM跨站：DOM(document object mode文档对象类型)，