常见Web安全漏洞.pptxVIP

常见Web安全漏洞H3C专业安全培训课程目录Web安全现状SQL注入XSSCSRF文件上传目录遍历其他Web安全漏洞Web丰富了我们的生活网上营业厅网上购物写博客竞选网上汇款交费Web小游戏Web来源于World Wide Web，Web系统是Internet的重要组成部分，形形色色的Web系统正在改变着我们的生活。Web系统的安全性参差不齐……复杂应用系统代码量大、开发人员多、难免出现疏忽；系统屡次升级、人员频繁变更，导致代码不一致；历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上；开发人员未经过安全编码培训；定制开发系统的测试程度不如标准的产品；……不同模块低耦合处理性能架构合理代码修改方便客户满意实现所有功能相对安全性而言，开发人员更注重系统功能！界面友好操作方便运行稳定开发进度与成本没有bug开发者的关注点Web攻击场景攻击动机攻击方法攻击工具黑客攻击面（attack surface）系统漏洞防范措施Web服务器Web攻击动机常见Web攻击动机恶作剧；关闭Web站点，拒绝正常服务；篡改Web网页，损害企业名誉；免费浏览收费内容；盗窃用户隐私信息，例如Email；以用户身份登录执行非法操作，从而获取暴利；以此为跳板攻击企业内网其他系统；网页挂木马，攻击访问网页的特定用户群；仿冒系统发布方，诱骗用户执行危险操作，例如用木马替换正常下载文件，要求用户汇款等；……常用的挂马exploitMS07-017 MS Windows Animated Cursor (.ANI) Remote ExploitMS07-019MS07-004 VML Remote Code ExecutionMS06-073MS06-071 XML Core Services Remote Code ExecutionMS06-068MS06-067MS06-057 WebViewFolderIcod ActiveXMS06-055MS06-014 MDAC Remote Code ExecutionMS06-013MS06-005MS06-004MS06-001Web攻击方法收集系统相关的通用信息将系统所有能访问页面，所有的资源，路径展现出来；URL、口令、数据库字段、文件名都可以暴力猜解，注意利用工具；利用Web漏洞扫描器，可以尽快发现一些明显的问题错误可能泄露服务器型号版本、数据库型号、路径、代码；搜索Google，CVE, BugTraq等漏洞库是否有相关的漏洞；服务器后台管理页面，路径是否可以列表等；是否可以上传恶意代码？是否可以任意下载系统文件；检查所有可以输入的地方：URL、参数、Post、Cookie、Referer、 Agent等是否进行了严格的校验；HTTP协议是文本协议，可利用回车换行做边界干扰；用户输入是否可以影响服务器的执行；需要特殊工具才能利用这些攻击点；复杂的业务逻辑中是否隐藏漏洞。常见Web攻击方法Google hack网页爬行暴力猜解Web漏洞扫描错误信息利用根据服务器版本寻找现有的攻击代码利用服务器配置漏洞文件上传、下载构造恶意输入（SQLSQL注入、命令SQL注入、跨站脚本攻击）HTTP协议攻击拒绝服务攻击其他攻击点利用（Web Services, Flash, Ajax, ActiveX, JavaApplet）业务逻辑测试……Web攻击工具：WebScarabWebScarab是OWASP组织推出的开源工具，可应用于一切基于HTTP协议系统的调试与攻击。OWASP=Open Web Application Security Project，OWASP是最权威的Web应用安全开源合作组织，其网站上有大量的Web应用安全工具与资料。特色：HTTP协议完全可见（可以完全操作所有的攻击点）支持HTTPS (包括客户端证书)全程数据与状态记录，可随时回顾黑客实际利用的输入点Web攻击面不仅仅是浏览器中可见的内容POST /thepage.jsp?var1=page1.html HTTP/1.1Accept: */*Referer: /index.htmlAccept-Language: en-us,de;q=0.5Accept-Encoding: gzip, deflateContent-Type: application/x-www-url-encodedContent-Lenght: 59User-Agent: Mozilla/4.0Host: Connection: Keep-AliveCookie: JSESSIONID=0000dITLGLqhz1dKkPEtpoYqbN2uid=fredpassword=secretpagestyle=default.cssaction=login所有输入点访问